Mit Dabber.A verbreitet sich ein neuer Wurm im Internet, der eine Sicherheitslücke in Sasser ausnutzt, um sich darüber zu verbreiten. Er entfernt andere Würmer auf einem befallenen System, darunter auch eine weitere Sober-Variante (Sober.G).
Dabber.A verbreitet sich selbsttätig im Internet, indem er eine Sicherheitslücke in dem vom Sasser-Wurm installierten ftp-Server ausnutzt. Dazu sucht der Wurm auf dem Port 5554 nach von Sasser befallenen Systemen und installiert sich dort im Erfolgsfall. Er aktiviert sodann einen ftp-Server auf Port 9898, um sich darüber zu vermehren. Ist Dabber.A aktiv, versucht er, zahlreiche Registry-Einträge zu löschen, die von anderen Würmern oder Schadprogrammen angelegt wurden. Dazu zählen die Würmer Sasser, Bagle und auch bestimmte Trojaner.
Man findet Dabber.A, weil sich unter dem Dateinamen package.exe im Windows-System-Verzeichnis sowie im Autostart-Verzeichnis ablegt. So wird der Wurm bei jedem Windows-Neustart automatisch geladen, gleichzeiig verfügt er auch noch über einen Autostart-Eintrag in der Registry.
Info: http://www.sophos.de/downloads/ide/Quelle: http://www.sophos.de/virusinfo/analyses