Dabber poluje na Sassera

W sieci pojawił się prawdopodobnie pierwszy w historii robak, który, aby włamać się do systemu, wykorzystuje lukę w innym robaku.

Do włamania robak, znany jako Dabber, wykorzystuje lukę związaną z serwerem FTP otwieraną przez Sassera (port 5554/TCP). O pojawieniu się exploita na tę lukę pisaliśmy tutaj. Robak pozostawia otwartego backdoora na porcie 9898/TCP. Po próbie infekcji przez port 5554/TCP, robak sprawdza czy atak się powiódł próbując się łączyć z portem 9898/TCP. Aktywność robaka można rozpoznać po sekwencyjnych skanach na te dwa porty. Według naszych obserwacji skala rozpowszechnienia robaka jest jednak bardzo mała.

Więcej o robaku Dabber: http://www.lurhq.com/dabber.htm

Źródło informacji: CERT Polska