ESTE SERVICIO PUEDE CONTENER TRADUCCIONES DE GOOGLE. GOOGLE NIEGA CUALQUIER RESPONSABILIDAD RELACIONADA CON LAS TRADUCCIONES, EXPRESA O IMPLÍCITA, INCLUYENDO CUALQUIER RESPONSABILIDAD ACERCA DE LA PRECISIÓN, LA CONFIABILIDAD Y CUALQUIER RESPONSABILIDAD IMPLÍCITA DE COMERCIABILIDAD, IDONEIDAD PARA UN PROPÓSITO EN PARTICULAR Y DE NO INFRACCIÓN. Por su comodidad, se ha traducido el sitio web de Kaspersky Lab utilizando un software de traducción de Google Translate. Se hicieron unos esfuerzos razonables para proporcionar una traducción precisa; no obstante, las traducciones automáticas no son perfectas y no hay ninguna intención de sustituir el trabajo de los traductores. Se proporcionan estas traducciones como un servicio para los usuarios del sitio web de Kaspersky Lab y se han publicado tal "como es". No hay ninguna garantía, expresa o implícita, acerca de la precisión, la confiabilidad o exactitud de cualquier traducción desde el inglés a cualquier otro idioma. La traducción de algunos contenidos (imágenes, videos, Flash, etc) podrían no ser totalmente fiel debido a las limitaciones del software de traducción.
Soluciones para:
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Vulnerabilidades Amenazas
Inicio Amenazas Net-Worm Win32

Net-Worm.Win32.Witty

Clase
Net-Worm
Plataforma
Win32

Clase de padre: VirWare

Los virus y gusanos son programas maliciosos que se auto replican en computadoras o redes de computadoras sin que el usuario lo sepa; cada copia subsiguiente de dichos programas maliciosos también puede auto-replicarse. Los programas maliciosos que se propagan a través de redes o infectan máquinas remotas cuando el "propietario" les ordena hacerlo (p. Ej., Puertas traseras) o programas que crean copias múltiples que no pueden autorreplicarse no forman parte de la subclase Virus y gusanos. La principal característica utilizada para determinar si un programa está clasificado como un comportamiento separado dentro de la subclase Viruses and Worms es cómo se propaga el programa (es decir, cómo el programa malicioso distribuye copias de sí mismo a través de recursos locales o de red). como archivos enviados como archivos adjuntos de correo electrónico, a través de un enlace a un recurso web o FTP, a través de un enlace enviado en un mensaje ICQ o IRC, a través de redes de intercambio de archivos P2P, etc. Algunos gusanos se propagan como paquetes de red; estos penetran directamente en la memoria de la computadora y el código del gusano se activa. Los gusanos usan las siguientes técnicas para penetrar computadoras remotas y lanzar copias de sí mismos: ingeniería social (por ejemplo, un mensaje de correo electrónico que sugiere que el usuario abre un archivo adjunto), explotando errores de configuración de red (como copiar a un disco totalmente accesible) y explotando lagunas en el sistema operativo y la seguridad de las aplicaciones. Los virus se pueden dividir de acuerdo con el método utilizado para infectar una computadora: virus de archivos virus de sector de arranque virus de macros virus de script Cualquier programa dentro de esta subclase puede tener funciones de troyano adicionales. También se debe tener en cuenta que muchos gusanos usan más de un método para distribuir copias a través de redes. Las reglas para clasificar objetos detectados con funciones múltiples se deben usar para clasificar estos tipos de gusanos.

Clase: Net-Worm

Net-Worms se propagan a través de redes informáticas. La característica distintiva de este tipo de gusano es que no requiere acción del usuario para propagarse. Este tipo de gusano generalmente busca vulnerabilidades críticas en el software que se ejecuta en las computadoras en red. Para infectar las computadoras en la red, el gusano envía un paquete de red especialmente diseñado (llamado exploit) y como resultado el código del gusano (o parte del código del gusano) penetra en la computadora de la víctima y se activa. A veces, el paquete de red solo contiene la parte del código del gusano que descargará y ejecutará un archivo que contiene el módulo principal del gusano. Algunos gusanos de red usan varios exploits simultáneamente para propagarse, lo que aumenta la velocidad a la que encuentran víctimas.

Más información

Plataforma: Win32

Win32 es una API en sistemas operativos basados ​​en Windows NT (Windows XP, Windows 7, etc.) que admite la ejecución de aplicaciones de 32 bits. Una de las plataformas de programación más extendidas en el mundo.

Descripción

Detalles técnicos

Este gusano sin archivos, también conocido como BlackIce y Blackworm, infecta computadoras que usan los siguientes productos vulnerables de ISS: 

 RealSecure Network 7.0, XPU 22.11 y anteriores RealSecure Server Sensor 7.0 XPU 22.11 y anteriores  RealSecure Server Sensor 6.5 para Windows SR 3.10 y anteriores  Proventia A Series XPU 22.11 y anteriores Proventia G Series XPU 22.11 y anteriores Proventia M Series XPU 1.9 y antes RealSecure Desktop 7.0 ebl y antes RealSecure Desktop 3.6 ecf y antes RealSecure Guard 3.6 ecf y antes  RealSecure Sentry 3.6 ecf y antes  BlackICE Agent para Server 3.6 ecf y antes BlackICE PC Protection 3.6 ccf y antes BlackICE Server Protection 3.6 ccf y antes

Envía su propio código de computadora a computadora y lanza el código explotando un defecto en la programación de los productos de ISS.

El gusano es extremadamente pequeño y varía de 768 bytes a 1148 bytes de tamaño (este último es el espécimen más grande que se ha detectado hasta ahora. El tamaño del gusano puede ser más pequeño que los valores dados).

El gusano solo existe en la memoria y no se copia en el disco. Intenta sobrescribir parte de la biblioteca vulnerable iss-pam1.dll en productos ISS con sus propios datos.

Cuando se activa en la computadora infectada, el gusano genera una dirección IP aleatoria y envía su propio código, junto con el exploit para la vulnerabilidad mencionada anteriormente, a esta dirección. Utiliza UPD 4000 como el puerto de origen.

Al recibir dicho paquete de datos, cualquier computadora remota que tenga productos ISS vulnerables instalados lo tratará como un paquete ICQ entrante e intentará procesarlo en consecuencia.

El resultado de este error es que el código ejecutable del gusano penetra en la memoria de la computadora víctima y comienza a enviar copias de sí mismo.

Una vez que el paquete de datos ha sido enviado desde la dirección IP elegida al azar, el gusano repite el proceso de elegir una dirección y enviar datos 20,000 veces. A continuación, intenta escribir los primeros 65 KB de datos de iss-pam1.dll en los sectores de disco elegidos al azar de la computadora infectada.

Una vez que se ha completado la operación anterior, se repite todo el ciclo.

El texto que se muestra a continuación se puede ver en el código del gusano: 

 (^. ^) insertar mensaje ingenioso aquí. (^. ^)  32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP

Implementación de ataques

Para llevar a cabo ataques, el gusano usa uno de los errores en la programación de productos ISS. Una descripción se puede encontrar en el sitio del vendedor

Witty aprovecha la vulnerabilidad en ICQ Parsing en ISS Products , que se identificó por primera vez en marzo de 2004.

Los parches para este error se pueden descargar desde el sitio de ISS

Notablemente, los métodos que Witty usa para propagar son casi idénticos a los que otro gusano sin archivos, Slammer , usó en enero de 2003.

El gusano no representa ninguna amenaza para los usuarios que no tienen los productos ISS vulnerables instalados en sus sistemas.

El gusano no crea copias de sí mismo en el disco, y solo reside en la RAM. Una vez que el sistema infectado ha sido reiniciado, el gusano deja de funcionar.

El análisis de Kasperskys de ataques de Internet muestra que, a partir del 22 de marzo de 2004, 48 horas después de que apareciera el gusano, Witty ocupaba el puesto 13 entre todos los gusanos de Internet actualmente activos (excluidos los gusanos de correo electrónico), con una modesta tasa de 0,32%.

Leer más

Conozca las estadísticas de las vulnerabilidades que se propagan en su región statistics.securelist.com

¿Has encontrado algún error en la descripción de esta vulnerabilidad? ¡Háznoslo saber!
Kaspersky Next:
ciberseguridad redefinida
Leer más
Nuevo Kaspersky
¡Su vida digital merece una protección completa!
Leer más
Related articles
25 April 2025
Securelist
Nuevo episodio: Triada contraataca
21 April 2025
Securelist
Ataques de phishing que usan HTML en SVG
07 April 2025
Securelist
Cómo el grupo ToddyCat intentó ocultarse detrás de un antivirus
02 April 2025
Securelist
No solo DeepSeek: TookPS también se propaga por otras vías
12 March 2025
Securelist
Troyano disfrazado de IA: los delincuentes aprovechan la popularidad de DeepSeek
03 March 2025
Securelist
Virología móvil 2024
¿Has encontrado algún error en la descripción de esta vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
¿Has encontrado una nueva amenaza o vulnerabilidad?
Si has encontrado una nueva amenaza o vulnerabilidad, por favor infórmanos por email:
newvirus@kaspersky.com
Soluciones para
Para el hogar
Empresas pequeñas
Empresas medianas
Corporativo
Select language
Sorting
Amenaza
Confirm changes?
Your message has been sent successfully.