BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.
Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.
Sınıf | Net-Worm |
Platform | Win32 |
Açıklama |
Teknik detaylarBlackIce ve Blackworm olarak da bilinen bu filizli solucan, aşağıdaki hassas ISS ürünlerini kullanan bilgisayarları enfekte eder: RealSecure Network 7.0, XPU 22.11 ve öncesi RealSecure Sunucu Sensörü 7.0 XPU 22.11 ve öncesi Windows SR 3.10 ve öncesi için RealSecure Server Sensor 6.5 Proventia A Serisi XPU 22.11 ve öncesi Proventia G Serisi XPU 22.11 ve öncesi Proventia M Serisi XPU 1.9 ve öncesi RealSecure Desktop 7.0 ebl ve öncesi RealSecure Desktop 3.6 ecf ve öncesi RealSecure Guard 3.6 ecf ve öncesi RealSecure Sentry 3.6 ecf ve öncesi Sunucusu 3.6 ecf için BlackICE Agent ve daha önce Siyah PC Koruma 3.6 ccf ve öncesi BlackICE Sunucu Koruması 3.6 ccf ve öncesi Kendi kodunu bilgisayardan bilgisayara gönderir ve ISS ürünlerinin programlanmasında bir kusurdan yararlanarak kodu başlatır. Solucan son derece küçüktür ve 768 bayttan 1148 bayta kadar büyüklüktedir (ikincisi, şimdiye kadar tespit edilen en büyük örnektir. Solucanın büyüklüğü verilen değerlerden daha küçük olabilir. Solucan sadece bellekte bulunur ve kendini diske kopyalamaz. ISS ürünlerindeki savunmasız kütüphane iss-pam1.dll dosyasının bir kısmını kendi verileriyle üzerine yazmaya çalışır. Virüs bulaşan bilgisayarda etkinleştirildiğinde, solucan rastgele bir IP adresi oluşturur ve yukarıda belirtilen güvenlik açığından yararlanarak kendi kodunu kendi adresine gönderir. UPD 4000'i kaynak port olarak kullanır. Böyle bir veri paketini alırken, korunmasız ISS ürünlerinin yüklü olduğu herhangi bir uzak bilgisayar, onu bir gelen ICQ paketi olarak ele alır ve buna göre işlemeye çalışır. Bu hatanın sonucu, solucanın çalıştırılabilir kodunun, kurbanın bilgisayarının belleğine girmesi ve kendi kopyalarını göndermeye başlamasıdır. Veri paketi rastgele seçilen IP adresinden gönderildiğinde, solucan bir adres seçme ve 20.000 kez veri gönderme işlemini tekrarlar. Ardından, iss-pam1.dll dosyasından ilk 65 KB veriyi virüslü bilgisayarın rastgele seçilen disk sektörlerine yazmayı dener. Yukarıdaki işlem tamamlandığında, tüm döngü tekrarlanır. Aşağıda gösterilen metin solucan kodunda görülebilir: (^. ^) esprili iletiyi buraya ekleyin. (^. ^) 32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP Saldırıların uygulanmasıSaldırı yapmak için solucan, ISS ürünlerinin programlanmasında hatalardan birini kullanır. Satıcıların sitesinde bir açıklama bulunabilir. Witty, ilk kez Mart 2004'te tanımlanan ISS Ürünlerinde ICQ Ayrıştırma'daki güvenlik açığını sömürüyor. Bu kusur için yamalar ISS sitesinden indirilebilir . Özellikle, Esprili yaymak için kullandığı yöntemler başka fileless solucan, hangi olanlara hemen hemen aynı Slammer'dir Ocak 2003'te kullandı. Solucan, sistemlerinde savunmasız ISS ürünleri bulunmayan kullanıcılara herhangi bir tehdit oluşturmaz. Solucan, disk üzerinde kendi kopyalarını oluşturmaz ve sadece RAM'de yerleşiktir. Virüs bulaşan sistem yeniden başlatıldığında, solucan çalışmaya son verir. Kasperskys İnternet saldırılarının analizi, 22 Mart 2004 tarihinden itibaren, solucanın ilk ortaya çıkmasından 48 saat sonra, Witty'nin şu anda aktif olan tüm Internet solucanları arasında (e-posta solucanlar hariç) 13. sırada yer aldığı ve% 0.32'lik bir derecelendirmeyle sonuçlandığını gösteriyor. |
Orijinaline link |
|
Bölgenizde yayılan tehditlerin istatistiklerini öğrenin |