Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este gusano sin archivos, también conocido como BlackIce y Blackworm, infecta computadoras que usan los siguientes productos vulnerables de ISS:

 RealSecure Network 7.0, XPU 22.11 y anteriores
 RealSecure Server Sensor 7.0 XPU 22.11 y anteriores 
 RealSecure Server Sensor 6.5 para Windows SR 3.10 y anteriores 
 Proventia A Series XPU 22.11 y anteriores
 Proventia G Series XPU 22.11 y anteriores
 Proventia M Series XPU 1.9 y antes
 RealSecure Desktop 7.0 ebl y antes
 RealSecure Desktop 3.6 ecf y antes
 RealSecure Guard 3.6 ecf y antes 
 RealSecure Sentry 3.6 ecf y antes 
 BlackICE Agent para Server 3.6 ecf y antes
 BlackICE PC Protection 3.6 ccf y antes
 BlackICE Server Protection 3.6 ccf y antes

Envía su propio código de computadora a computadora y lanza el código explotando un defecto en la programación de los productos de ISS.

El gusano es extremadamente pequeño y varía de 768 bytes a 1148 bytes de tamaño (este último es el espécimen más grande que se ha detectado hasta ahora. El tamaño del gusano puede ser más pequeño que los valores dados).

El gusano solo existe en la memoria y no se copia en el disco. Intenta sobrescribir parte de la biblioteca vulnerable iss-pam1.dll en productos ISS con sus propios datos.

Cuando se activa en la computadora infectada, el gusano genera una dirección IP aleatoria y envía su propio código, junto con el exploit para la vulnerabilidad mencionada anteriormente, a esta dirección. Utiliza UPD 4000 como el puerto de origen.

Al recibir dicho paquete de datos, cualquier computadora remota que tenga productos ISS vulnerables instalados lo tratará como un paquete ICQ entrante e intentará procesarlo en consecuencia.

El resultado de este error es que el código ejecutable del gusano penetra en la memoria de la computadora víctima y comienza a enviar copias de sí mismo.

Una vez que el paquete de datos ha sido enviado desde la dirección IP elegida al azar, el gusano repite el proceso de elegir una dirección y enviar datos 20,000 veces. A continuación, intenta escribir los primeros 65 KB de datos de iss-pam1.dll en los sectores de disco elegidos al azar de la computadora infectada.

Una vez que se ha completado la operación anterior, se repite todo el ciclo.

El texto que se muestra a continuación se puede ver en el código del gusano:

 (^. ^) insertar mensaje ingenioso aquí. (^. ^) 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP

Implementación de ataques

Para llevar a cabo ataques, el gusano usa uno de los errores en la programación de productos ISS. Una descripción se puede encontrar en el sitio del vendedor

Witty aprovecha la vulnerabilidad en ICQ Parsing en ISS Products , que se identificó por primera vez en marzo de 2004.

Los parches para este error se pueden descargar desde el sitio de ISS

Notablemente, los métodos que Witty usa para propagar son casi idénticos a los que otro gusano sin archivos, Slammer , usó en enero de 2003.

El gusano no representa ninguna amenaza para los usuarios que no tienen los productos ISS vulnerables instalados en sus sistemas.

El gusano no crea copias de sí mismo en el disco, y solo reside en la RAM. Una vez que el sistema infectado ha sido reiniciado, el gusano deja de funcionar.

El análisis de Kasperskys de ataques de Internet muestra que, a partir del 22 de marzo de 2004, 48 horas después de que apareciera el gusano, Witty ocupaba el puesto 13 entre todos los gusanos de Internet actualmente activos (excluidos los gusanos de correo electrónico), con una modesta tasa de 0,32%.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Net-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este gusano sin archivos, también conocido como BlackIce y Blackworm, infecta computadoras que usan los siguientes productos vulnerables de ISS: RealSecure Network 7.0, XPU 22.11 y anteriores RealSecure Server Sensor 7.0 XPU 22.11 y anteriores RealSecure Server Sensor 6.5 para Windows SR 3.10 y anteriores Proventia A Series XPU 22.11 y anteriores Proventia G Series XPU 22.11 y anteriores Proventia M Series XPU 1.9 y antes RealSecure Desktop 7.0 ebl y antes RealSecure Desktop 3.6 ecf y antes RealSecure Guard 3.6 ecf y antes RealSecure Sentry 3.6 ecf y antes BlackICE Agent para Server 3.6 ecf y antes BlackICE PC Protection 3.6 ccf y antes BlackICE Server Protection 3.6 ccf y antes Envía su propio código de computadora a computadora y lanza el código explotando un defecto en la programación de los productos de ISS. El gusano es extremadamente pequeño y varía de 768 bytes a 1148 bytes de tamaño (este último es el espécimen más grande que se ha detectado hasta ahora. El tamaño del gusano puede ser más pequeño que los valores dados). El gusano solo existe en la memoria y no se copia en el disco. Intenta sobrescribir parte de la biblioteca vulnerable iss-pam1.dll en productos ISS con sus propios datos. Cuando se activa en la computadora infectada, el gusano genera una dirección IP aleatoria y envía su propio código, junto con el exploit para la vulnerabilidad mencionada anteriormente, a esta dirección. Utiliza UPD 4000 como el puerto de origen. Al recibir dicho paquete de datos, cualquier computadora remota que tenga productos ISS vulnerables instalados lo tratará como un paquete ICQ entrante e intentará procesarlo en consecuencia. El resultado de este error es que el código ejecutable del gusano penetra en la memoria de la computadora víctima y comienza a enviar copias de sí mismo. Una vez que el paquete de datos ha sido enviado desde la dirección IP elegida al azar, el gusano repite el proceso de elegir una dirección y enviar datos 20,000 veces. A continuación, intenta escribir los primeros 65 KB de datos de iss-pam1.dll en los sectores de disco elegidos al azar de la computadora infectada. Una vez que se ha completado la operación anterior, se repite todo el ciclo. El texto que se muestra a continuación se puede ver en el código del gusano: (^. ^) insertar mensaje ingenioso aquí. (^. ^) 32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP Implementación de ataques Para llevar a cabo ataques, el gusano usa uno de los errores en la programación de productos ISS. Una descripción se puede encontrar en el sitio del vendedor Witty aprovecha la vulnerabilidad en ICQ Parsing en ISS Products , que se identificó por primera vez en marzo de 2004. Los parches para este error se pueden descargar desde el sitio de ISS Notablemente, los métodos que Witty usa para propagar son casi idénticos a los que otro gusano sin archivos, Slammer , usó en enero de 2003. El gusano no representa ninguna amenaza para los usuarios que no tienen los productos ISS vulnerables instalados en sus sistemas. El gusano no crea copias de sí mismo en el disco, y solo reside en la RAM. Una vez que el sistema infectado ha sido reiniciado, el gusano deja de funcionar. El análisis de Kasperskys de ataques de Internet muestra que, a partir del 22 de marzo de 2004, 48 horas después de que apareciera el gusano, Witty ocupaba el puesto 13 entre todos los gusanos de Internet actualmente activos (excluidos los gusanos de correo electrónico), con una modesta tasa de 0,32%.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Net-Worm.Win32.Witty

Detalles técnicos

Implementación de ataques