Sasser-ormen, som i sidste uge hærgede internet, nægter at dø til trods for pågribelsen af den unge tysker, som har tilstået at stå bag både Sasser og de 28 varianter af Netsky-ormen.
Nu er en ny Sasser-variant dukket op, men flere eksperter afviser, at det skulle være tegn på, at Sasser-bagmanden har medsammensvorne, som fortsat er på fri fod.
Alt tyder derimod på, at Sasser.F blot er resultatet af, at en person har fået fat i et eksemplar af ormen og modificeret den en smule.
De foregående Sasser-varianter har udviklet sig løbende. Den nye variant er derimod en næsten identisk klon af den første Sasser-orm.
- Det faktum, at F-varianten ikke indeholder nye funktioner, bekræfter, at en ny person står bag, siger Luis Corrons, direktør i antivirusfirmaet Pandalabs.
Antivirusfirmaerne var længe overbevist om, at der stod en hel gruppe bag både Netsky-ormene og Sasser, men den unge tysker hævder at have arbejdet på egen hånd.
Den nye version af Sasser er ifølge Luis Corrons ikke et bevis på, at ormene i virkeligheden er spredt af en gruppe og ikke kun en enkelt ung mand.
- Det ser ud til, at en uerfaren hacker har skabt Sasser.F ved at ændre en smule i den originale orms programkode, siger Luis Corrons.
Samme datostempel
Den version af ormen, som findes i fri dressur på internettet, er pakket med et særligt program til at komprimere små programfiler.
Ifølge Peter Kruse fra det danske sikkerhedsfirma CSIS har en person blot pakket programmet ud og redigeret i den kompilerede kode for at ændre blandt andet de filnavne, som ormen benytter.
F-varianten er kompileret på nøjagtigt samme tidspunkt som A-varianten. Det kan man ifølge Peter Kruse se ved at læse datostemplet i programmet. Da de to orme alligevel har små forskelle, så tyder det på, at personen, som har udsendt Sasser.F, ikke har haft adgang til selve kildekoden bag den originale Sasser.
