En ny variant af internetormen Sasser er dukket op i nat, selvom tysk politi hævder at have pågrebet bagmanden og en række andre personer, som mistænkes for at stå bag både Sasser og Netsky-ormene.
Det er ifølge antivirusfirmaet Symantec kun mindre tekniske forskelle, som adskiller den nye version Sasser.G fra de forrige seks varianter.
Fremkomsten af den nye Sasser-orm vækker undren, fordi tysk politi for godt en måned siden anholdte en 18-årig tysker efter et tip, som Microsoft havde modtaget. Den 18-årige har indrømmet at stå bag internetormen Sasser og e-mailormen Netsky.
Samme bagmænd?
En uge senere slog politiet igen til og anholdt yderligere fem personer, som mistænkes for at have været med til at sprede Netsky og Sasser.
To af personerne indrømmede over for politiet at have været i besiddelse af kildekoden til Sasser.
Det står endnu ikke klart, om den nye Sasser-orm er udviklet af de oprindelige bagmænd.
Det er dog mere sandsynligt, at kildekoden er blevet spredt på internettet eller er bygget op ved "reverse engineering", altså at udlede kildekoden ud fra den binære programkode.
Sasser.G udnytter fortsat et hul i Microsoft Windows 2000, XP og Windows 2003 Server til at sprede sig automatisk via netværket.
Da de forrige Sasser-varianter efterhånden har tabt pusten, har hverken Symantec eller antivirusorganisationen Outpost24 slået alarm.
I forhold til de første varianter af Sasser, som ofte fik Windows til at lukke ned automatisk, så udnytter denne udgave en funktion i Windows, som slår den automatiske nedlukning fra.
Derfor vil en pc, der er inficeret med den nye Sasser-variant, ikke stå og blive ved med at genstarte sig selv. Det var ellers et af de mest sikre tegn på, at pc'en var inficeret med Sasser.
Til gengæld kommer den nye Sasser med en advarsel til brugeren to timer efter infektionen.
En dialogboks fortæller brugeren, at systemet er inficeret med Sasser, fordi der ikke er installeret en kritisk opdatering fra Microsoft.
Aflurer bankkoder
Det er da også den bedste kur mod Sasser-ormen og en række af de øvrige orme, som udnytter samme sikkerhedshul.
Det drejer sig blandt andet om Korgo-ormene, som bliver brugt til at sprede en bagdør og et spyware-program, som forsøger at aflytte pinkoder til kreditkort og netbanker.
Ingen af hverken de nyere Sasser-orme eller Korgo har dog haft held til at sprede sig i lige så stort omfang, som de tre første varianter af Sasser.
Relevante link
