W sieci pojawił się prawdopodobnie pierwszy w historii robak, który, aby włamać się do systemu, wykorzystuje lukę w innym robaku. Nazwano go Dabber, a wykorzystuje on lukę związaną z serwerem FTP otwieraną przez Sassera (port 5554/TCP) i umożliwia przejęcie kontroli nad zainfekowanym komputerem przez Internet.
Robak łączy się z komputerami losowo wybranymi i następnie sprawdza, czy są zainfekowane robakiem Sasser. Jeżeli tak jest to wykorzystując błąd w komponencie FTP robaka Sasser instaluje swoją kopię w systemie oraz usuwa z rejestru wywołania robaków z rodziny Sasser, wyłączając ich automatyczne uruchamianie się.
Dabber pozostawia otwartego backdoora na porcie 9898/TCP. Po próbie infekcji przez port 5554/TCP, robak sprawdza czy atak się powiódł próbując się łączyć z portem 9898/TCP. Aktywność robaka można rozpoznać po sekwencyjnych skanach na te dwa porty. Według obserwacji CERT.pl skala rozpowszechnienia robaka jest jednak bardzo mała.
Robak łączy się z komputerami losowo wybranymi i następnie sprawdza, czy są zainfekowane robakiem Sasser. Jeżeli tak jest to wykorzystując błąd w komponencie FTP robaka Sasser instaluje swoją kopię w systemie oraz usuwa z rejestru wywołania robaków z rodziny Sasser, wyłączając ich automatyczne uruchamianie się.
Dabber pozostawia otwartego backdoora na porcie 9898/TCP. Po próbie infekcji przez port 5554/TCP, robak sprawdza czy atak się powiódł próbując się łączyć z portem 9898/TCP. Aktywność robaka można rozpoznać po sekwencyjnych skanach na te dwa porty. Według obserwacji CERT.pl skala rozpowszechnienia robaka jest jednak bardzo mała.