Orm utnytter sårbarhet i annen orm

For første gang er det registrert en orm som sprer seg ved å utnytte et «sikkerhetshull» i en annen orm.

Før helgen beskrev det amerikanske IT-sikkerhetsselskapet Lurhq – kjent blant annet for sine sammenliknende undersøkelser av ormene Netsky og Sasser – en ny orm som sprer seg kun til maskiner som allerede var infisert av Sasser-ormen.

Det spesielle ved denne ormen, som Lurhq har døpt Dabber, er at den utnytter en sårbarhet i ormen som den jakter på, og ikke Windows-sårbarheten som Sasser-ormen selv utnytter for å spre seg. Det skal være første gang en orm utnytter et «sikkerhetshull» i en annen orm.

Hullet er i Sassers FTP-server. Det ble opprinnelig oppdaget og beskrevet av en gruppe som kaller seg «Romanian Security Research» på denne nettsiden datert 10. mai: Sasser Worm ftpd Remote Buffer Overflow Exploit (port 5554). Ifølge Lurhq er koden til denne gruppen lagt inn i Dabber-ormen.

Når Dabber har funnet et offer, installerer den seg selv permanent i PC-en, sperrer for alle andre ormer, avinstallerer Sasser og setter i gang med å lete opp nye ofre. I tillegg legger den opp sin egen bakdør som hackere kan bruke for å kontrollere offerets PC.

Lurhq har også oppdaget felles trekk mellom Dabber og en lite påaktet orm oppdaget i mars, Doomran, som utnyttet Mydoom-virusets bakdør til å installere seg på Mydoom-infiserte PC-er. Forskjellen mellom Dabber og Doomran skal vesentlig være at Mydoom-bakdøren er erstattet av Sasser-FTP-hullet, og at Dabber avinstallerer Sasser. Doomran skanner port 9898, mens Dabber skanner port 5554.

Den innebygde sårbarheten i Sasser styrker hypotesen om at det er en gjeng skoleelever, og ikke organisert kriminalitet, som står bak ormen.

Til toppen