Wurm nutzt Wurm-Lücke: Dabber attackiert mit Sasser befallene PCs

Im Internet kursiert mit Dabber ein neuer Wurm, der sich etwas von den bisherigen Würmern unterscheidet. Andere Würmer befallen Rechner oft, indem sie eine Lücke des Betriebssystems ausnutzen. Dabber dagegen nutzt eine Lücke, die in einem anderen Wurm, dem Sasser, steckt, um in einen Rechner zu gelangen. Mit Sasser infizierte Rechner sind somit das Angriffsziel von Dabber.

Dabber nutzt eine Lücke in der FTP-Server-Komponente des Sasser-Wurms, berichten die Sicherheitsexperten von LURHQ. Laut Ansicht der Experten soll Dabber der erste Wurm überhaupt sein, der sich ausbreitet, indem er eine Lücke eines anderen Wurms angreift.

Dabber enthält einen Programmcode, der die FTP-Lücke angreift. Dieser Programmcode ist erst kürzlich im Internet veröffentlich worden. Der Wurm scannt im Internet über den Port 5554 und sucht Windows-Rechner, die mit dem Sasser-Wurm infiziert sind. Sobald es einen solchen Rechner entdeckt hat, attackiert es den Sasser-Wurm und nutzt dessen Lücke, um über FTP eine Datei mit dem Namen "package.exe" auf den Rechner zu laden.

Sobald diese Datei ausgeführt wird, wird der Sasser-Wurm auf dem Rechner "abgestoßen" und künftig daran gehindert, neu zu starten. Dabber öffnet außerdem den TCP-Port 9898 als Backdoor und wartet dann auf Kommandos des Angreifers.

Dabber verbreitet sich laut LURHQ derzeit nur langsam. Die Zahl der Infektionen "eskaliere" allerdings. Das deutet also darauf hin, dass noch viele Rechner mit dem Sasser-Wurm infiziert sind und die Anwender ihn noch nicht entfernt haben.