En ny type orm ser ud til at benytte en helt ny metode til at sprede sig
I stedet for at lytte på en bestemt port, holder den øje med datapakker, der har et andet fællestræk. Det kan gøre den sværere at opdage og spore.
Når en orm bliver installeret på en computer, begynder den ofte at lytte på en bestemt port. Dens bagmand kan styre ormen ved at sende kommandoer til porten. Men når porten er identificeret, kan sikkerhedsfolk finde frem til inficerede computere ved at følge datapakker, der sendes til porten.
Den nye orm ser derimod ud til at lytte på alle porte. Den ved, når der ankommer en kommando til den, fordi feltet "Window size" i datapakken har værdien 55808.
Det kan gøre det vanskeligere at finde frem til datapakker, der stammer fra ormen, da de fleste overvågnings- og filtreringsværktøjer anvender IP-adresser og portnumre til at filtrere ud fra. De skal i så fald omkonfigureres, så de også kan tage "Window size" med blandt kriterierne.
http://www.lancope.com/news/Virus_Alert_Trojan.htm