Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv.

Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.

Net-Worm.Win32.Witty

Třída Net-Worm
Platfoma Win32
Popis

Technické údaje

Tento souborový červa, známý také jako BlackIce a Blackworm, infikuje počítače, které používají následující zranitelné produkty ISS:

 RealSecure Network 7.0, XPU 22.11 a dříve
 RealSecure Server Sensor 7.0 XPU 22.11 a dříve 
 RealSecure Server Sensor 6.5 pro Windows SR 3.10 a dříve 
 Proventia A Series XPU 22.11 a dříve
 Proventia G Series XPU 22.11 a dříve
 Proventia M Series XPU 1.9 a dříve
 RealSecure Desktop 7.0 ebl a dříve
 RealSecure Desktop 3.6 a dříve
 RealSecure Guard 3.6 ecf a dříve 
 RealSecure Sentry 3,6 ekf a dříve 
 Agent BlackICE pro server 3.6 a dříve
 BlackICE PC Protection 3.6 ccf a dříve
 BlackICE Server Protection 3.6 ccf a dříve 

Zasílá svůj vlastní kód z počítače do počítače a spouští kód tím, že využívá chybu v programování produktů ISS.

Šnek je extrémně malý a pohybuje se v rozmezí 768 bajtů až 1148 bajtů (poslední je největší vzorek, který byl doposud odhalen.) Velikost šneku může být menší než uvedené hodnoty.

Červ existuje pouze v paměti a nekopíruje se na disk. Pokouší se přepsat část zranitelné knihovny iss-pam1.dll v produktech ISS se svými vlastními daty.

Když je aktivován na infikovaném počítači, generuje červeň náhodnou adresu IP a na tuto adresu pošle svůj vlastní kód spolu s výše uvedenou chybou zabezpečení. Používá UPD 4000 jako zdrojový port.

Při přijetí takového datového paketu bude každý vzdálený počítač s nainstalovanými produkty ISS považovat za příchozí paket ICQ a pokusí se jej odpovídajícím způsobem zpracovat.

Výsledkem této chyby je, že spustitelný kód červa proniká do paměti počítače poškozeného a začne posílat kopie sebe sama.

Jakmile byl datový paket odeslán z náhodně zvolené adresy IP, červ opakuje proces výběru adresy a odesílání dat 20 000krát. Potom se pokusí zapsat první 65 kB dat z iss-pam1.dll do náhodně vybraných sektorů disku infikovaného počítače.

Jakmile je výše uvedená operace dokončena, celý cyklus se opakuje.

Níže uvedený text lze vidět v kódu červa:

 (^. ^) vložte tuhle zprávu. (^. ^) 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP 

Provádění útoků

K útokům provádí červ používá jednu z chyb v programování produktů ISS. Popis najdete na webu prodejce

Witty využívá zranitelnost ve službě ICQ Parsing v produktech ISS , která byla poprvé identifikována v březnu 2004.

Záplaty pro tuto chybu je možné stáhnout z webu ISS

Zejména metody, které Witty používá k šíření, jsou téměř shodné s metodami, které použil jiný bezpilotní červ, Slammer , v lednu 2003.

Červ nepředstavuje žádnou hrozbu pro uživatele, kteří nemají na svých systémech nainstalované zranitelné produkty ISS.

Červ nevytváří vlastní kopie na disku a žije pouze v paměti RAM. Jakmile je infikovaný systém restartován, červa přestane fungovat.

Kasperskys analýza internetových útoků ukazuje, že 22. března 2004, 48 hodin poté, co se červ objevil poprvé, Witty se umístil na 13. místě mezi všemi aktuálně aktivními červy internetu (s výjimkou e-mailových červů) s mírným hodnocením 0,32%.


Odkaz na originál