Trods tysk politis anholdelse af en 18-årig mand, som lørdag tilstod at stå bag internetormen Sasser, er den sidste kodelinje endnu ikke skrevet i den sag.
Det finske antivirusfirma F-Secure og sikkerhedsorganisationen Sans beretter om, at der på internettet nu findes et program, som udnytter en sårbarhed i selve Sasser-ormen.
Det er temmelig usædvanligt, at der dukker programmer op, som udnytter deciderede sårbarheder i en orm eller en virus.
Programmerings-fejl
I de fleste fortilfælde har der været tale om, at en anden orm udnytter den bagdør, som den første orm åbner, til at komme ind på den inficerede pc.
I dette tilfælde drejer det sig om et såkaldt exploit i form af et program, der udnytter en programmeringsfejl i Sasser-ormene.
Sårbarheden findes i Sassers FTP-server, som ormen bruger til at sprede sig til andre pc'er via internettet. Der er ifølge F-Secure tale om en bufferoverløbsfejl.
Netop FTP-serveren i Sasser har så mange tekniske ligheder med FTP-serveren i e-mail-ormene af Netsky-familien, at antivirusfirmaer mente, at der måtte tale om den samme programmør eller gruppe.
Sasser-ormen udnytter selv en sårbarhed i Windows 2000 og Windows XP. Derfor er et system, som er inficeret med Sasser også åbent for angribere, som vil udnytte Windows-sårbarheden.
Åbner en bagdør
Derfor kunne programmøren af det program, som udnytter Sasser-sårbarheden, have valgt at angribe den samme Windows-sårbarhed i stedet med samme resultat.
Programmet åbner en simpel bagdør på den inficerede pc, som lytter på netværksport 530. Risikoen er dog begrænset foreløbigt, da programmet skal bruges aktivt af en hacker i modsætning til Sasser-ormen, som spreder sig automatisk.
For at undgå at få åbnet denne bagdør er den bedste kur at undgå at blive inficeret med Sasser i første omgang.
Det sker ved at hente de seneste sikkerhedsopdateringer fra Microsoft via Windows Update-tjenesten.
