Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 9/10/2003
Mindst tre danske organisationer er blevet ramt af en ny botnet-orm. Ormens bagmænd kan fjernstyre den med chat-kommandoer.DK-CERT har modtaget anmeldelse fra tre danske organisationer, der er blevet inficeret med den nye orm. Ormen findes i flere varianter, en af dem kaldes Gaobot.S af antivirusfirmaet Panda. Den optræder under filnavnet Lsas.exe. En anden variant kalder Symantec Gaobot.AF, den bruger filnavnet Msrun.exe.
Pc'er, der er ramt af Gaobot.S, har i nogle tilfælde fået problemer med at vise filoversigter korrekt i Windows Stifinder. Endvidere har nogle brugere oplevet ændringer af Internet Explorers udseende.
Gaobot.S spreder sig ved at udnytte to velkendte sårbarheder: DCOM RPC-sårbarheden og Webdav-sårbarheden i IIS. Endvidere prøver den også at kopiere sig selv via Windows-fildeling. Den afprøver en stribe kombinationer af brugernavne og adgangskoder for at komme ind på delte mapper på andre computere.
Når den har inficeret en pc, prøver den at inficere andre computere. Samtidig kobler den sig til en chat-kanal på en IRC-server (Internet Relay Chat). På kanalen kan ormens bagmænd udstede ordrer til alle de inficerede computere, der kobler sig til den. Derved opbygger han et netværk af "robotter", et såkaldt botnet.
Man kan opdage, at ens computer er blevet inficeret, hvis den åbner en forbindelse til port 6667 (IRC) på en computer på internettet. Endvidere vil der også være aktivitet til en lang række IP-adresser på portene 135 (RPC) og 445 (Windows-fildeling).
Ormen undersøger, om en række computerspil er installeret på den inficerede pc. Hvis de er det, stjæler den cd-nøglen til spillet. Den standser også en række antivirusprogrammer, personlige firewalls og systemovervågningsværktøjer.