本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Win32.Witty

クラス Net-Worm
プラットフォーム Win32
説明

技術的な詳細

このファイルレスワームは、BlackIceおよびBlackwormとも呼ばれ、以下の脆弱なISS製品を使用するコンピュータに感染します。

 RealSecure Network 7.0、XPU 22.11以前
 RealSecure Server Sensor 7.0 XPU 22.11以前 
 RealSecure Server Sensor 6.5 for Windows SR 3.10およびそれ以前 
 Proventia AシリーズXPU 22.11以前
 Proventia GシリーズXPU 22.11以前
 Proventia MシリーズXPU 1.9以前
 RealSecure Desktop 7.0 eB以前
 RealSecure Desktop 3.6 ecfおよびそれ以前
 RealSecure Guard 3.6 ecfおよびそれ以前 
 RealSecure Sentry 3.6 ecfおよびそれ以前 
 Blackfin Agent for Server 3.6 ecfおよびそれ以前
 BlackICE PC Protection 3.6 ccfおよびそれ以前
 BlackICE Server Protection 3.6 ccfおよびそれ以前

コンピュータからコンピュータにコードを送信し、ISS製品のプログラミングの欠陥を利用してコードを起動します。

ワームは非常に小さく、サイズは768バイトから1148バイトまでです(後者は今まで検出された最大の標本です)。ワームのサイズは、指定された値よりも小さくなることがあります。

ワームはメモリ内にのみ存在し、自身をディスクにコピーしません。 ISS製品の脆弱なライブラリiss-pam1.dllの一部を独自のデータで上書きしようとします。

ワームは、感染したコンピュータで起動されると、ランダムなIPアドレスを生成し、上記の脆弱性の悪用と一緒に自身のコードをこのアドレスに送信します。ソースポートとしてUPD 4000を使用します。

このようなデータパケットを受信すると、脆弱なISS製品がインストールされているリモートコンピュータは、それを着信ICQパケットとして処理し、それに応じて処理しようとします。

このエラーの結果、ワームの実行可能コードは被害者のコンピュータのメモリに侵入し、自身のコピーを送信し始めます。

ランダムに選択されたIPアドレスからデータパケットが送信されると、ワームはアドレスを選択してデータを2万回送信する処理を繰り返します。その後、iss-pam1.dllから感染したコンピュータのランダムに選択されたディスクセクタに最初の65KBのデータを書き込もうとします。

上記の操作が完了すると、サイクル全体が繰り返されます。

下記のテキストは、ワームのコードで見ることができます:

 (^。^)ここに気の利いたメッセージを挿入してください。 (^。^) 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP 

攻撃の実装

ワームは、攻撃を行うために、ISS製品のプログラミングにおけるエラーの1つを使用します。説明はベンダーのサイトで見つけることができます

Wittyは2004年3月に最初に確認されたISS製品のICQ解析脆弱性を悪用しています

この欠陥のパッチはISSサイトからダウンロードできます

特に、Wittyが伝播するために使用する方法は、2003年1月に使用された別のファイルレスワームSlammerとほぼ同じです。

ワームは、システムに脆弱なISS製品がインストールされていないユーザーには脅威を与えません。

ワームはディスク上に自身のコピーを作成せず、RAMにのみ常駐します。感染したシステムがリブートされると、ワームは動作を停止します。

カスペルスキーのインターネット攻撃の分析では、2004年3月22日時点で、ワームが最初に登場してから48時間後に、現在活動しているすべてのインターネットワーム(電子メールワームを除く)で13位にランクされ、0.32%と評価されています。


オリジナルへのリンク