Chefkonsulent Preben Andersen, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.
Der er nu så mange inficerede pc'er på nettet, at nogle orme snylter på det arbejde, andre orme og trojanske heste har udført.
Ormen Dabber, der dukkede op i maj måned, er ved første øjekast ikke noget usædvanligt: Den angriber pc'er og installerer en bagdør, som gør det muligt at fjernstyre offerets computer. Men på et punkt er den noget særligt: Den kunne ikke eksistere, hvis ikke ormen Sasser i forvejen var blevet udbredt på nettet.
Det skyldes, at Dabber kun angriber pc'er, der er inficeret med Sasser. Sasser spreder sig ved at udnytte en sårbarhed i Windows, som Microsoft fjernede i april måned. Sårbarheden findes i LSASS-modulet (Local Security Authority Subsystem Service). Modulet har et bufferoverløb, som Sasser udnytter.
Installerer FTP-server
Sasser installerer et FTP-serverprogram (File Transfer Protocol) på den computer, den inficerer. FTP-serverprogrammet bruges til at sprede ormen med: Når ormen får kontakt til en anden sårbar pc, udnytter den sårbarheden til at få det nye offer til at hente ormeprogrammet via FTP. Sassers FTP-serverprogram lytter på port 5554.
Ironisk nok er der imidlertid en sårbarhed i Sassers FTP-serverprogram. Det udnytter Dabber.
Dabber scanner internettet efter computere, der lytter på port 5554. Når den finder en computer, der svarer på opkald til porten, prøver den, om det skulle være et af Sassers ofre. Er det tilfældet, udnytter Dabber sårbarheden i FTP-serverprogrammet til at installere sig selv på pc'en. Derefter går den i gang med at scanne internettet efter flere potentielle ofre.
Phatbot snylter på Bagle og Mydoom
Makkerparret Sasser og Dabber er et eksempel på en form for trussel, vi kan regne med at høre mere til. Tidligere på året kom ormen Phatbot. Den bruger en række sårbarheder til at sprede sig med, herunder også de bagdøre, som ormene Bagle og Mydoom installerer. Og for nylig kom ormen Zindos, der forsøger at udføre et distribueret ude-af-drift-angreb mod Microsofts websted. Zindos spreder sig via en bagdør, som Mydoom.O åbner.
Når det kan lade sig gøre for denne type orme at blive udbredte, er det et tegn på, at der på trods af utallige advarsler fortsat findes rigtig mange inficerede pc'er på nettet.
Oprindelig bragt på Computerworld Online den 30. juli 2004