Dabber knöpft sich Sasser und andere Würmer vor

Dabber.A verbreitet sich selbsttätig im Internet, indem eine Sicherheitslücke in dem vom Sasser-Wurm installierten ftp-Server ausgenutzt wird. Dazu sucht der Wurm auf dem Port 5554 nach von Sasser befallenen Systemen und installiert sich im Erfolgsfall auf diese. Dabber seinerseits aktiviert einen ftp-Server auf Port 9898, um sich darüber zu vermehren. Wenn Dabber.A aktiv ist, versucht er, zahlreiche Registry-Einträge zu löschen, die von anderen Würmern oder Schadprogrammen angelegt wurden. Dazu zählen die Würmer Sasser, Bagle und der Trojaner Mitglieder.

Dabber.A legt sich unter dem Dateinamen package.exe im Windows-System-Verzeichnis sowie im Autostart-Verzeichnis ab. So wird der Wurm bei jedem Windows-Neustart automatisch geladen. Zudem schreibt sich der Wurm noch mit einem Autostart-Eintrag in die Registry.

Bislang hat sich Dabber.A nach Informationen der Hersteller von Antiviren-Software nicht sonderlich stark verbreiten können - ganz im Unterschied zu Sober.G. Wie seine Vorfahren versendet sich auch dieser Wurm-Ableger unter anderem über einen deutschsprachigen Nachrichtentext per E-Mail und will Nutzer dazu bringen, den E-Mail-Anhang mit dem Wurm-Code zu öffnen und sich so zu infizieren.

Auf einem befallenen System nistet sich Sober.G so ein, dass er bei jedem Windows-Neustart geladen wird. Für seine Verbreitung durchsucht der Schädling zahlreiche lokale Dateien nach gültigen E-Mail-Adressen und versendet sich mit einer gefälschten Absenderadresse über eine eigene SMTP-Engine an diese. Je nachdem, welche Länderkennung die Domain der gefundenen Empfänger-Adressen aufweist, verschickt sich der Wurm mit deutschsprachigem oder englischsprachigem Text.

Die Hersteller von Antiviren-Software haben ihre Signatur-Dateien aktualisiert, um sowohl Dabber.A als auch Sober.G erkennen und bekämpfen zu können.