Tato služba může obsahovat Google překlady. Společnost Google odmítá veškerou odpovědnost za překlad, doslovný i předpokládaný, včetně veškerých záruk aktuálnosti, spolehlivosti a veškerých záruk předpokládané zobchodovatelnosti, vhodnosti pro daný účel a neporušení práv. Web Kaspersky Lab byl přeložen překládacím softwarem založeným na Google Translate. Bylo vynaloženo přiměřené úsilí, aby byl zajištěn přesný překlad, avšak žádný automatický překlad není dokonalý a není určen k nahrazení lidských překladatelů. Překlady jsou poskytovány jako služba uživatelům webových stránek a jsou poskytovány „tak jak jsou“. Neexistuje žádná záruka jakéhokoliv druhu, na vyjádřený nebo předpokládaný překlad, na přesnost nebo správnost překladů. Některý obsah (například obrázky, videa, Flash atd.) Nemusí být přesně přeložen z důvodu omezení překladového softwaru.
Produkty:
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Zranitelnosti Hrozby
Úvod Hrozby Net-Worm Win32

Net-Worm.Win32.Witty

Třída
Net-Worm
Platfoma
Win32

Hlavní třída: VirWare

Viry a červy jsou škodlivé programy, které se samy replikují v počítačích nebo prostřednictvím počítačových sítí, aniž by si uživatel uvědomoval; každá další kopie takových škodlivých programů je také schopna samoregistrace.

Škodlivé programy, které se šíří prostřednictvím sítí nebo infikují vzdálené počítače, pokud jim to pověřil "vlastník" (např. Backdoors) nebo programy, které vytvářejí více kopií, které nejsou schopné samoregistrace, nejsou součástí podtřídy Viruses and Worms.

Hlavní charakteristikou používanou k určení, zda je program klasifikován jako samostatné chování v podtřídě Viruses a Worms, je způsob, jakým se program šíří (tj. Jak škodlivý program šíří vlastní kopie prostřednictvím lokálních nebo síťových zdrojů).

Většina známých červů se šíří jako soubory odeslané jako přílohy e-mailů prostřednictvím odkazu na web nebo zdroj FTP prostřednictvím odkazu odeslaného v ICQ nebo IRC zprávě prostřednictvím P2P sdílení souborů atd.

Někteří červi se šíří jako síťové pakety; tyto přímo proniknou do paměti počítače a aktivuje se kód červů.

Worms používají k průniku vzdálených počítačů následující metody: sociální inženýrství (například e-mailová zpráva naznačující, že uživatel otevře připojený soubor), využívající chyby v konfiguraci sítě (například kopírování na plně přístupný disk) a využívání mezery v zabezpečení operačního systému a aplikací.

Viry lze rozdělit podle metody používané k infikování počítače:

souborů virů
viry zaváděcího sektoru
makro viry
virů skriptu
Každý program v rámci této podtřídy může mít další funkce trojan.

Je třeba také poznamenat, že mnoho červů používá více než jednu metodu k šíření kopií prostřednictvím sítí. Pravidla pro klasifikaci detekovaných objektů s více funkcemi by měla být použita pro klasifikaci těchto typů červů.

Třída: Net-Worm

Net-Worms se šíří prostřednictvím počítačových sítí. Rozlišujícím znakem tohoto typu červa je, že nevyžaduje akci uživatele, aby se rozšířil.

Tento typ červa obvykle vyhledává kritické chyby v softwaru běžícím v síťových počítačích. Za účelem napadnutí počítačů v síti posílá červ speciálně vytvořený síťový paket (nazývaný exploit) a v důsledku toho se červový kód (nebo část kódu škůdce) proniká do počítače oběti a aktivuje se. Někdy síťový paket obsahuje pouze část červového kódu, který bude stahovat a spouštět soubor obsahující hlavní modul červů. Někteří síťoví červi používají několik zneužívání současně k šíření, čímž zvyšují rychlost, s jakou se oběti nacházejí.

Platfoma: Win32

Win32 je rozhraní API v operačních systémech Windows NT (Windows XP, Windows 7 atd.), Které podporují provádění 32bitových aplikací. Jedna z nejrozšířenějších programovacích platforem na světě.

Popis

Technické údaje

Tento souborový červa, známý také jako BlackIce a Blackworm, infikuje počítače, které používají následující zranitelné produkty ISS: 

 RealSecure Network 7.0, XPU 22.11 a dříve RealSecure Server Sensor 7.0 XPU 22.11 a dříve  RealSecure Server Sensor 6.5 pro Windows SR 3.10 a dříve  Proventia A Series XPU 22.11 a dříve Proventia G Series XPU 22.11 a dříve Proventia M Series XPU 1.9 a dříve RealSecure Desktop 7.0 ebl a dříve RealSecure Desktop 3.6 a dříve RealSecure Guard 3.6 ecf a dříve  RealSecure Sentry 3,6 ekf a dříve  Agent BlackICE pro server 3.6 a dříve BlackICE PC Protection 3.6 ccf a dříve BlackICE Server Protection 3.6 ccf a dříve

Zasílá svůj vlastní kód z počítače do počítače a spouští kód tím, že využívá chybu v programování produktů ISS.

Šnek je extrémně malý a pohybuje se v rozmezí 768 bajtů až 1148 bajtů (poslední je největší vzorek, který byl doposud odhalen.) Velikost šneku může být menší než uvedené hodnoty.

Červ existuje pouze v paměti a nekopíruje se na disk. Pokouší se přepsat část zranitelné knihovny iss-pam1.dll v produktech ISS se svými vlastními daty.

Když je aktivován na infikovaném počítači, generuje červeň náhodnou adresu IP a na tuto adresu pošle svůj vlastní kód spolu s výše uvedenou chybou zabezpečení. Používá UPD 4000 jako zdrojový port.

Při přijetí takového datového paketu bude každý vzdálený počítač s nainstalovanými produkty ISS považovat za příchozí paket ICQ a pokusí se jej odpovídajícím způsobem zpracovat.

Výsledkem této chyby je, že spustitelný kód červa proniká do paměti počítače poškozeného a začne posílat kopie sebe sama.

Jakmile byl datový paket odeslán z náhodně zvolené adresy IP, červ opakuje proces výběru adresy a odesílání dat 20 000krát. Potom se pokusí zapsat první 65 kB dat z iss-pam1.dll do náhodně vybraných sektorů disku infikovaného počítače.

Jakmile je výše uvedená operace dokončena, celý cyklus se opakuje.

Níže uvedený text lze vidět v kódu červa: 

 (^. ^) vložte tuhle zprávu. (^. ^)  32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP

Provádění útoků

K útokům provádí červ používá jednu z chyb v programování produktů ISS. Popis najdete na webu prodejce

Witty využívá zranitelnost ve službě ICQ Parsing v produktech ISS , která byla poprvé identifikována v březnu 2004.

Záplaty pro tuto chybu je možné stáhnout z webu ISS

Zejména metody, které Witty používá k šíření, jsou téměř shodné s metodami, které použil jiný bezpilotní červ, Slammer , v lednu 2003.

Červ nepředstavuje žádnou hrozbu pro uživatele, kteří nemají na svých systémech nainstalované zranitelné produkty ISS.

Červ nevytváří vlastní kopie na disku a žije pouze v paměti RAM. Jakmile je infikovaný systém restartován, červa přestane fungovat.

Kasperskys analýza internetových útoků ukazuje, že 22. března 2004, 48 hodin poté, co se červ objevil poprvé, Witty se umístil na 13. místě mezi všemi aktuálně aktivními červy internetu (s výjimkou e-mailových červů) s mírným hodnocením 0,32%.

Zobrazit více

Zjistěte statistiky zranitelností šířících se ve vaší oblasti statistics.securelist.com

Našli jste v popisu této chyby zabezpečení nepřesnost? Dej nám vědět!
Kaspersky Premium
Zjistěte více
Kaspersky Next
Let’s go Next: redefine your business’s cybersecurity
Zjistěte více
Related articles
24 April 2024
Securelist
Assessing the Y, and How, of the XZ Utils incident
22 April 2024
Securelist
ToddyCat is making holes in your infrastructure
18 April 2024
Securelist
DuneQuixote campaign targets Middle Eastern entities with “CR4T” malware
17 April 2024
Securelist
SoumniBot: the new Android banker’s unique techniques
15 April 2024
Securelist
Using the LockBit builder to generate targeted ransomware
12 April 2024
Securelist
XZ backdoor story – Initial analysis
Našli jste v popisu této chyby zabezpečení nepřesnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Našli jste novou hrozbu nebo zranitelnost?
Pokud jste našli novou hrozbu nebo zranitelnost, dejte nám prosím vědět e-mailem:
newvirus@kaspersky.com
Produkty
Domů
Pro malé podniky
Pro střední podniky
Pro velké podniky
Select language
Sorting
Hrozba
Confirm changes?
Your message has been sent successfully.