Clase de padre: VirWare
Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.Clase: Net-Worm
Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.Más información
Plataforma: Win32
Win32 es una API en sistemas operativos basados en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.Descripción
Detalles técnicos
Este gusano sin archivos, también conocido como BlackIce y Blackworm, infecta computadoras que usan los siguientes productos vulnerables de ISS:
RealSecure Network 7.0, XPU 22.11 y anteriores RealSecure Server Sensor 7.0 XPU 22.11 y anteriores RealSecure Server Sensor 6.5 para Windows SR 3.10 y anteriores Proventia A Series XPU 22.11 y anteriores Proventia G Series XPU 22.11 y anteriores Proventia M Series XPU 1.9 y antes RealSecure Desktop 7.0 ebl y antes RealSecure Desktop 3.6 ecf y antes RealSecure Guard 3.6 ecf y antes RealSecure Sentry 3.6 ecf y antes BlackICE Agent para Server 3.6 ecf y antes BlackICE PC Protection 3.6 ccf y antes BlackICE Server Protection 3.6 ccf y antes
Envía su propio código de computadora a computadora y lanza el código explotando un defecto en la programación de los productos de ISS.
El gusano es extremadamente pequeño y varía de 768 bytes a 1148 bytes de tamaño (este último es el espécimen más grande que se ha detectado hasta ahora. El tamaño del gusano puede ser más pequeño que los valores dados).
El gusano solo existe en la memoria y no se copia en el disco. Intenta sobrescribir parte de la biblioteca vulnerable iss-pam1.dll en productos ISS con sus propios datos.
Cuando se activa en la computadora infectada, el gusano genera una dirección IP aleatoria y envía su propio código, junto con el exploit para la vulnerabilidad mencionada anteriormente, a esta dirección. Utiliza UPD 4000 como el puerto de origen.
Al recibir dicho paquete de datos, cualquier computadora remota que tenga productos ISS vulnerables instalados lo tratará como un paquete ICQ entrante e intentará procesarlo en consecuencia.
El resultado de este error es que el código ejecutable del gusano penetra en la memoria de la computadora víctima y comienza a enviar copias de sí mismo.
Una vez que el paquete de datos ha sido enviado desde la dirección IP elegida al azar, el gusano repite el proceso de elegir una dirección y enviar datos 20,000 veces. A continuación, intenta escribir los primeros 65 KB de datos de iss-pam1.dll en los sectores de disco elegidos al azar de la computadora infectada.
Una vez que se ha completado la operación anterior, se repite todo el ciclo.
El texto que se muestra a continuación se puede ver en el código del gusano:
(^. ^) insertar mensaje ingenioso aquí. (^. ^) 32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP
Implementación de ataques
Para llevar a cabo ataques, el gusano usa uno de los errores en la programación de productos ISS. Una descripción se puede encontrar en el sitio del vendedor
Witty aprovecha la vulnerabilidad en ICQ Parsing en ISS Products , que se identificó por primera vez en marzo de 2004.
Los parches para este error se pueden descargar desde el sitio de ISS
Notablemente, los métodos que Witty usa para propagar son casi idénticos a los que otro gusano sin archivos, Slammer , usó en enero de 2003.
El gusano no representa ninguna amenaza para los usuarios que no tienen los productos ISS vulnerables instalados en sus sistemas.
El gusano no crea copias de sí mismo en el disco, y solo reside en la RAM. Una vez que el sistema infectado ha sido reiniciado, el gusano deja de funcionar.
El análisis de Kasperskys de ataques de Internet muestra que, a partir del 22 de marzo de 2004, 48 horas después de que apareciera el gusano, Witty ocupaba el puesto 13 entre todos los gusanos de Internet actualmente activos (excluidos los gusanos de correo electrónico), con una modesta tasa de 0,32%.
Leer más
Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com