Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/9/2003
DK-CERT har modtaget flere anmeldelser, der viser, at en ny variant af ormen Gaobot er i omløb i Danmark. Ormen anvender samme sårbarhed som Blaster-ormen og får de ramte systemer til at blive ustabile. Endvidere skaber den voldsom netværkstrafik.Ormen spreder sig ikke via e-mail, men gennem Windows' fildeling (på port 139 og 445) og en sårbarhed i Windows' DCOM RPC-system (port 135). Det er samme sårbarhed, som Blaster-ormen anvender. Når det lykkes ormen at inficere en computer, placerer den en fil ved navn scvhost.exe på den. Man kan blive smittet, hvis ens computer sidder på samme net som en inficeret pc, eller hvis man ikke har fjernet RPC-sårbarheden.
Ormen anvender filnavnet scvhost.exe for at narre brugere til at tro, at der er tale om Windows-systemfilen svchost.exe. En tidligere version af Gaobot brugte navnet svchosl.exe.
Hvert femte sekund prøver ormen at kontakte nogle servere på internettet. Kontakten sker sandsynligvis via IRC-protokollen (Internet Relay Chat), hvilket kan være en metode til at modtage kommandoer fra ormens ophavsmand.
Ifølge antivirusfirmaet Symantec medfører ormen, at inficerede computere bliver ustabile. Således kan man ikke se filer i mappen Winnt og dens undermapper. Samtidig holder udklipsholderen og søgning efter filer op med at virke. Symantec arbejder på en signatur, der kan genkende ormen. Ormen er en variant af Gaobot.AA, som blev opdaget den 21. august.
Antivirusfirmaet McAfee har udsendt en ekstra signaturfil, der gør det muligt at opdage ormen, når den har inficeret en pc. Da den er vurderet til at være en lavrisiko-trussel, kommer den ikke med i automatisk opdatering, så man skal hente filen manuelt.
Antivirusprogrammer vil sandsynligvis ikke kunne forhindre, at ormen spreder sig via sårbarheden på port 135. Derfor anbefaler DK-CERT, at man finder frem til computere, der ikke har fået lukket dette sikkerhedshul, og installerer programrettelsen fra Microsoft. Til at finde sårbare computere kan man anvende et scanningsværktøj fra Microsoft.
Herudover kan man undersøge, hvilke delte drev de enkelte pc'er stiller til rådighed. En forgænger til ormen afprøvede en række kendte kombinationer af brugernavne og passwords til at forsøge at logge ind med. Det er muligt, denne variant gør det samme.