ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN.

Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.

Net-Worm.Win32.Witty

Clase Net-Worm
Plataforma Win32
Descripción

Detalles técnicos

Este gusano sin archivos, también conocido como BlackIce y Blackworm, infecta computadoras que usan los siguientes productos vulnerables de ISS:

 RealSecure Network 7.0, XPU 22.11 y anteriores
 RealSecure Server Sensor 7.0 XPU 22.11 y anteriores 
 RealSecure Server Sensor 6.5 para Windows SR 3.10 y anteriores 
 Proventia A Series XPU 22.11 y anteriores
 Proventia G Series XPU 22.11 y anteriores
 Proventia M Series XPU 1.9 y antes
 RealSecure Desktop 7.0 ebl y antes
 RealSecure Desktop 3.6 ecf y antes
 RealSecure Guard 3.6 ecf y antes 
 RealSecure Sentry 3.6 ecf y antes 
 BlackICE Agent para Server 3.6 ecf y antes
 BlackICE PC Protection 3.6 ccf y antes
 BlackICE Server Protection 3.6 ccf y antes 

Envía su propio código de computadora a computadora y lanza el código explotando un defecto en la programación de los productos de ISS.

El gusano es extremadamente pequeño y varía de 768 bytes a 1148 bytes de tamaño (este último es el espécimen más grande que se ha detectado hasta ahora. El tamaño del gusano puede ser más pequeño que los valores dados).

El gusano solo existe en la memoria y no se copia en el disco. Intenta sobrescribir parte de la biblioteca vulnerable iss-pam1.dll en productos ISS con sus propios datos.

Cuando se activa en la computadora infectada, el gusano genera una dirección IP aleatoria y envía su propio código, junto con el exploit para la vulnerabilidad mencionada anteriormente, a esta dirección. Utiliza UPD 4000 como el puerto de origen.

Al recibir dicho paquete de datos, cualquier computadora remota que tenga productos ISS vulnerables instalados lo tratará como un paquete ICQ entrante e intentará procesarlo en consecuencia.

El resultado de este error es que el código ejecutable del gusano penetra en la memoria de la computadora víctima y comienza a enviar copias de sí mismo.

Una vez que el paquete de datos ha sido enviado desde la dirección IP elegida al azar, el gusano repite el proceso de elegir una dirección y enviar datos 20,000 veces. A continuación, intenta escribir los primeros 65 KB de datos de iss-pam1.dll en los sectores de disco elegidos al azar de la computadora infectada.

Una vez que se ha completado la operación anterior, se repite todo el ciclo.

El texto que se muestra a continuación se puede ver en el código del gusano:

 (^. ^) insertar mensaje ingenioso aquí. (^. ^) 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP 

Implementación de ataques

Para llevar a cabo ataques, el gusano usa uno de los errores en la programación de productos ISS. Una descripción se puede encontrar en el sitio del vendedor

Witty aprovecha la vulnerabilidad en ICQ Parsing en ISS Products , que se identificó por primera vez en marzo de 2004.

Los parches para este error se pueden descargar desde el sitio de ISS

Notablemente, los métodos que Witty usa para propagar son casi idénticos a los que otro gusano sin archivos, Slammer , usó en enero de 2003.

El gusano no representa ninguna amenaza para los usuarios que no tienen los productos ISS vulnerables instalados en sus sistemas.

El gusano no crea copias de sí mismo en el disco, y solo reside en la RAM. Una vez que el sistema infectado ha sido reiniciado, el gusano deja de funcionar.

El análisis de Kasperskys de ataques de Internet muestra que, a partir del 22 de marzo de 2004, 48 horas después de que apareciera el gusano, Witty ocupaba el puesto 13 entre todos los gusanos de Internet actualmente activos (excluidos los gusanos de correo electrónico), con una modesta tasa de 0,32%.


Enlace al original