Alias: Unix/SadMind, Solaris/Sadmind.worm, Backdoor.Sadmind, SunOS/BoxPoison, Worm.PoizonBox, ELF_Sadmind.a, Sadmind-IIS

Este gusano de Unix se descubrió en Estados Unidos en Mayo de 2001 y aprovecha vulnerabilidades conocidas (para las que existen parches en los sites de los fabricantes) en los servidores basados en sistemas Solaris de Sun Microsistems, concretamente en el programa sadmind de Solstice AdminSuite (hasta la versión 7) e IIS de Microsoft (versiones 4 y 5).

Cuando el gusano ataca un sistema añade el texto: "++" a los archivos .rhost del directorio raíz. Después copiara el gusano (utilizando rcp) en el equipo introduciéndolo en el directorio creado a tal efecto /dev/cuc. Para activar su código viral cada vez que se inicie el sistema, Sadmind modificará el archivo etc/rc.d/S71rpc. También intentará descargar e instalar Perl en el sistema e se autoejecutará el archivo start.sh utilizando el servicio rsh.

Start.sh creará un directorio /dev/cup y comenzará su proceso en background.

El gusano, una vez activado, buscará equipos vulnerables en redes clase B. En paralelo escanea los servidores web IIS vulnerables. Después de que haya infectado 2000 equipos intentará modificar la página por defecto del navegador con un mensaje en texto rojo sobre un fondo negro:

"fuck USA Government, fuck PoizonBox".