Etterapere fører ormekrigen videre

Det meldes om lav til moderat spredning av to kopier av den opprinnelige Sasser: Sasser.F og Cycle.A.

Ormen Cycle.A ble registrert i går kveld. Den utnytter den samme Windows-sårbarheten LSASS som Sasser, har den samme irriterende evnen til å slå av PC-en seksti sekunder etter start, og kommer med den samme høflige henstillingen om å laste ned fiksen fra Microsoft for å tette hullet.

Ellers har Cycle.A to spesielle egenskaper. For det første jakter den på den gamle kjenningen, ormen Blaster (MSBlast), samt Sasser-variantene A til D. Er disse ormene aktive på offerets maskin, avsluttes de når Cycle dukker opp.

For det andre er Cycle.A programmert til å lansere tjenestenektangrep mot det offisielle iranske telegrambyrået IRNA (Islamic Republic News Agency) og mot BBC, fra og med 18. mai.

I likhet med Sasser, sprer Cycle.A seg videre til andre maskiner uten hjelp fra e-post.

Sasser.F ble registrert tidligere i dag. Ifølge det rumenske IT-sikkerhetsselskapet BitDefender (også kalt SoftWin) er det helt klart at opphavet til Sasser.F ikke har hatt tilgang til kildekoden til Sasser, men har nøyd seg med en fiks til Sasser.A, den første Sasser-varianten, og samtidig den som minst evnet å spre seg. Utover noen få små detaljer, er det ifølge analytikerne i Panda og Symantec ikke noe som skiller F fra A.

Det er følgelig gjengs oppfatning av opphavet til Sasser.F er en annen enn opphavet til Sasser.A til E, og at politiets teori om at den tyske skoleeleven Sven Jaschen var alene om Sasser.A til E – og kanskje også alle 28 variantene av Netsky-viruset – fortsatt holder.

Til toppen