Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 15/8/2005
En ny orm udnytter et af de sikkerhedshuller, som Microsoft udsendte rettelser til i sidste uge.Ormen, som antivirusfirmaet F-Secure kalder Zotob.A, udnytter den sårbarhed, der er beskrevet i Microsofts sikkerhedsbulletin MS05-039. Sårbarheden ligger i Windows' håndtering af plug-and-play.
Zotob.A er en variant af Mytob, der længe har været blandt de mest udbredte mail-baserede orme. Men i denne udgave bruger den ikke mail til at sprede sig, i stedet scanner den internettet efter pc'er, der har plug-and-play-sårbarheden. Når den finder et offer, udnytter den sårbarheden til at hente ormeprogrammet via FTP fra den pc, den kører på.
Den inficerede pc bliver sluttet til et botnet, hvorfra den kan fjernstyres via en IRC-kanal (Internet Relay Chat). Den åbner også en bagdør, der lytter på port 8888, og en FTP-server på port 33333.
Hvis man bruger en firewall, der lukker for opkald til TPC-port 445, er man beskyttet mod ormen. Den kan heller ikke ramme pc'er med Windows XP med Service Pack 2. Ellers kan man installere den programrettelse, som Microsoft udsendte sammen med advarslen.