Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 17/6/2003
En ny type orm ser ud til at benytte en ny metode til at sprede sig: I stedet for at lytte på en bestemt port, holder den øje med datapakker, der har et andet fællestræk. Det kan gøre den sværere at opdage og spore.Sikkerhedsfirmaet Lancope hævder at have opsamlet datapakker, der skulle stamme fra den endnu unavngivne orm. Derimod er der endnu ingen, der har fundet og analyseret selve ormeprogrammet.
Når en orm bliver installeret på en computer, begynder den ofte at lytte på en bestemt port. Dens bagmand kan styre ormen ved at sende kommandoer til porten. Men når porten er identificeret, kan sikkerhedsfolk finde frem til inficerede computere ved at følge datapakker, der sendes til porten.
Den nye orm ser derimod ud til at lytte på alle porte. Den ved, når der ankommer en kommando til den, fordi feltet "Window size" i datapakken har værdien 55808.
Det kan gøre det vanskeligere at finde frem til datapakker, der stammer fra ormen, da de fleste overvågnings- og filtreringsværktøjer anvender IP-adresser og portnumre til at filtrere ud fra. De skal i så fald omkonfigureres, så de også kan tage "Window size" med blandt kriterierne.
Mary Lindner fra det amerikanske CERT/CC siger til bladet Government Computer News, at der ikke er noget i ormen, som man ikke har set før.