Kaspersky Threats

クラス

プラットフォーム

説明

技術的な詳細

このファイルレスワームは、BlackIceおよびBlackwormとも呼ばれ、以下の脆弱なISS製品を使用するコンピュータに感染します。

 RealSecure Network 7.0、XPU 22.11以前
 RealSecure Server Sensor 7.0 XPU 22.11以前 
 RealSecure Server Sensor 6.5 for Windows SR 3.10およびそれ以前 
 Proventia AシリーズXPU 22.11以前
 Proventia GシリーズXPU 22.11以前
 Proventia MシリーズXPU 1.9以前
 RealSecure Desktop 7.0 eB以前
 RealSecure Desktop 3.6 ecfおよびそれ以前
 RealSecure Guard 3.6 ecfおよびそれ以前 
 RealSecure Sentry 3.6 ecfおよびそれ以前 
 Blackfin Agent for Server 3.6 ecfおよびそれ以前
 BlackICE PC Protection 3.6 ccfおよびそれ以前
 BlackICE Server Protection 3.6 ccfおよびそれ以前

コンピュータからコンピュータにコードを送信し、ISS製品のプログラミングの欠陥を利用してコードを起動します。

ワームは非常に小さく、サイズは768バイトから1148バイトまでです（後者は今まで検出された最大の標本です）。ワームのサイズは、指定された値よりも小さくなることがあります。

ワームはメモリ内にのみ存在し、自身をディスクにコピーしません。 ISS製品の脆弱なライブラリiss-pam1.dllの一部を独自のデータで上書きしようとします。

ワームは、感染したコンピュータで起動されると、ランダムなIPアドレスを生成し、上記の脆弱性の悪用と一緒に自身のコードをこのアドレスに送信します。ソースポートとしてUPD 4000を使用します。

このようなデータパケットを受信すると、脆弱なISS製品がインストールされているリモートコンピュータは、それを着信ICQパケットとして処理し、それに応じて処理しようとします。

このエラーの結果、ワームの実行可能コードは被害者のコンピュータのメモリに侵入し、自身のコピーを送信し始めます。

ランダムに選択されたIPアドレスからデータパケットが送信されると、ワームはアドレスを選択してデータを2万回送信する処理を繰り返します。その後、iss-pam1.dllから感染したコンピュータのランダムに選択されたディスクセクタに最初の65KBのデータを書き込もうとします。

上記の操作が完了すると、サイクル全体が繰り返されます。

下記のテキストは、ワームのコードで見ることができます：

 （^。^）ここに気の利いたメッセージを挿入してください。 （^。^） 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP

攻撃の実装

ワームは、攻撃を行うために、ISS製品のプログラミングにおけるエラーの1つを使用します。説明はベンダーのサイトで見つけることができます

Wittyは2004年3月に最初に確認されたISS製品のICQ解析の脆弱性を悪用しています。

この欠陥のパッチはISSサイトからダウンロードできます

特に、Wittyが伝播するために使用する方法は、2003年1月に使用された別のファイルレスワームSlammerとほぼ同じです。

ワームは、システムに脆弱なISS製品がインストールされていないユーザーには脅威を与えません。

ワームはディスク上に自身のコピーを作成せず、RAMにのみ常駐します。感染したシステムがリブートされると、ワームは動作を停止します。

カスペルスキーのインターネット攻撃の分析では、2004年3月22日時点で、ワームが最初に登場してから48時間後に、現在活動しているすべてのインターネットワーム（電子メールワームを除く）で13位にランクされ、0.32％と評価されています。

オリジナルへのリンク

お住まいの地域に広がる脅威の統計をご覧ください

クラス	Net-Worm
プラットフォーム	Win32
説明	技術的な詳細このファイルレスワームは、BlackIceおよびBlackwormとも呼ばれ、以下の脆弱なISS製品を使用するコンピュータに感染します。 RealSecure Network 7.0、XPU 22.11以前 RealSecure Server Sensor 7.0 XPU 22.11以前 RealSecure Server Sensor 6.5 for Windows SR 3.10およびそれ以前 Proventia AシリーズXPU 22.11以前 Proventia GシリーズXPU 22.11以前 Proventia MシリーズXPU 1.9以前 RealSecure Desktop 7.0 eB以前 RealSecure Desktop 3.6 ecfおよびそれ以前 RealSecure Guard 3.6 ecfおよびそれ以前 RealSecure Sentry 3.6 ecfおよびそれ以前 Blackfin Agent for Server 3.6 ecfおよびそれ以前 BlackICE PC Protection 3.6 ccfおよびそれ以前 BlackICE Server Protection 3.6 ccfおよびそれ以前コンピュータからコンピュータにコードを送信し、ISS製品のプログラミングの欠陥を利用してコードを起動します。ワームは非常に小さく、サイズは768バイトから1148バイトまでです（後者は今まで検出された最大の標本です）。ワームのサイズは、指定された値よりも小さくなることがあります。ワームはメモリ内にのみ存在し、自身をディスクにコピーしません。 ISS製品の脆弱なライブラリiss-pam1.dllの一部を独自のデータで上書きしようとします。ワームは、感染したコンピュータで起動されると、ランダムなIPアドレスを生成し、上記の脆弱性の悪用と一緒に自身のコードをこのアドレスに送信します。ソースポートとしてUPD 4000を使用します。このようなデータパケットを受信すると、脆弱なISS製品がインストールされているリモートコンピュータは、それを着信ICQパケットとして処理し、それに応じて処理しようとします。このエラーの結果、ワームの実行可能コードは被害者のコンピュータのメモリに侵入し、自身のコピーを送信し始めます。ランダムに選択されたIPアドレスからデータパケットが送信されると、ワームはアドレスを選択してデータを2万回送信する処理を繰り返します。その後、iss-pam1.dllから感染したコンピュータのランダムに選択されたディスクセクタに最初の65KBのデータを書き込もうとします。上記の操作が完了すると、サイクル全体が繰り返されます。下記のテキストは、ワームのコードで見ることができます：（^。^）ここに気の利いたメッセージを挿入してください。（^。^） 32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP 攻撃の実装ワームは、攻撃を行うために、ISS製品のプログラミングにおけるエラーの1つを使用します。説明はベンダーのサイトで見つけることができます Wittyは2004年3月に最初に確認されたISS製品のICQ解析の脆弱性を悪用しています。この欠陥のパッチはISSサイトからダウンロードできます特に、Wittyが伝播するために使用する方法は、2003年1月に使用された別のファイルレスワームSlammerとほぼ同じです。ワームは、システムに脆弱なISS製品がインストールされていないユーザーには脅威を与えません。ワームはディスク上に自身のコピーを作成せず、RAMにのみ常駐します。感染したシステムがリブートされると、ワームは動作を停止します。カスペルスキーのインターネット攻撃の分析では、2004年3月22日時点で、ワームが最初に登場してから48時間後に、現在活動しているすべてのインターネットワーム（電子メールワームを除く）で13位にランクされ、0.32％と評価されています。
	オリジナルへのリンク
	お住まいの地域に広がる脅威の統計をご覧ください

Net-Worm.Win32.Witty

技術的な詳細

攻撃の実装