Вирус Dabber использует уязвимости своего предшественника

В то время, как 18-летний автор вируса Sasser сидит дома и ждет повестки в суд, его вирус успели изучить другие хакеры и найти в нем уязвимость. Новый червь Dabber использует дыру в FTP-компоненте вируса, позволяющем превратить зараженный компьютер в файловый сервер. Он сканирует компьютеры в сети на предмет открытого своим предшественником порта 5554, и, используя программу-эксплоит для Sasser, написанную румынскими исследователями узявимостей (RSR), устанавливается на машину сам. Затем вирус стирает все упоминания о Sasser и его самого из системы, не забыв заменить номер порта на 9898. Через этот порт хакеры могут загружать в систему дополнительный код.

Лаборатория антивирусных исследований LURHQ утверждает, что убить червя довольно просто: сначала удалить процесс package.exe, затем в реестре стереть ключ "sassfix", и, наконец, убрать все package.exe из системных папок Windows, а лучше со всего компьютера.

Это уже не первый случай использования эпидемий для распространения новых вирусов. К примеру, Doomjuice и Deadhat захватывали компьютеры, "занятые" вирусом MyDoom, сообщает The Register.