Af Anonym, 11/10/16
Artiklen blev oprindeligt publiceret den 19/5/2004
Ormene Kibuv.B og Bobax.A, der blev opdaget i weekenden, har givet en voldsom stigning i trafikken på port 5000.Fra den 15. til den 17. maj var de to orme skyld i, at antallet af angreb på port 5000 steg fra et dagligt niveau på cirka 20.000 angreb til over 7 millioner angreb om dagen. Det viser tal fra statistiktjenesten Internet Storm Center, og tendensen bekræftes af DK-CERT's egne data fra en centralt placeret firewall på den danske del af internettet.
Kibuv.B
Kibuv.B udnytter en række forskellige sårbarheder. De fleste er Windows-sårbarheder, som Microsoft allerede har udsendt rettelser imod. Den forsøger også at udnytte en sårbarhed i den FTP-server, som Sasser-ormen installerer på inficerede computere, til at installere sig selv i stedet.
Lykkes det Kibuv.B at inficere computeren vil den etablere en åben FTP-server på port 7955. Desuden åbner den en bagdør til systemet på port 420.
Bobax.A
Bobax.A udnytter sårbarheden i Windows' LSASS-modul, som Microsoft udsendte en programrettelse mod den 13. april. Det var også denne sårbarhed, som Sasser benyttede sig af, og mange brugere har allerede hentet sikkerhedsrettelsen hos Microsoft, der sikrer computeren mod angreb gennem sårbarheden.
Bobax.A installerer en HTTP-server på den inficerede computer på en tilfældig port fra 2.000 til 62.000, herefter scanner den tilfældige IP-adresser for at finde frem til sårbare systemer.