Gaobot eller Agobot produceres stadig flittigt
Vi observerer fortsat, at der flere gange om ugen frigives nye varianter af Gaobot ormen, også kendt som Agobot. I løbet af den seneste uge har forfatteren frigivet yderligere seks varianter af ormen.
Kort fortalt er Gaobot en netværksbaseret internet-orm, som spreder sig ved at udnytte sårbarheder i Microsoft Windows. De seneste varianter af ormen udnytter tre forskellige svagheder i Microsoft Windows. RPC DCOM sårbarheden, som også udnyttes af Blaster, RPC Locator samt WebDav sårbarheden i Microsoft Internet Information Server.
De forskellige varianter, som løbende frigives, er kun meget lidt modificerede. Ofte ændrer personen bag Gaobot-familien kun det filnavn, som kopieres til et sårbart system. Herefter kompileres koden og pakkes med en populær exe-pakker, som ofte vil forhindre at den bliver opdaget af Antivirus-software. Derfor er det som regel nødvendigt at frigive nye definitionsfiler, som kan opdage de nye Gaobot-varianter.
Heldigvis har mange antivirusproducenter udviklet en avanceret form for generisk detektion, så nye varianter kan fanges, når de frigives. Det bedste forsvar er dog stadig at vedligeholde og opdatere Windows løbende og ikke forvente, at antivirus-software kan fange og fjerne alt ondsindet kode som dagligt frigives.
Man bør derfor besøge Windows Update regelmæssigt.
Kilde:
Peter Kruse
EuroTrust Virus112 A/S
|