Kaspersky Threats

Sınıf

Platform

Açıklama

Teknik detaylar

BlackIce ve Blackworm olarak da bilinen bu filizli solucan, aşağıdaki hassas ISS ürünlerini kullanan bilgisayarları enfekte eder:

 RealSecure Network 7.0, XPU 22.11 ve öncesi
 RealSecure Sunucu Sensörü 7.0 XPU 22.11 ve öncesi 
 Windows SR 3.10 ve öncesi için RealSecure Server Sensor 6.5 
 Proventia A Serisi XPU 22.11 ve öncesi
 Proventia G Serisi XPU 22.11 ve öncesi
 Proventia M Serisi XPU 1.9 ve öncesi
 RealSecure Desktop 7.0 ebl ve öncesi
 RealSecure Desktop 3.6 ecf ve öncesi
 RealSecure Guard 3.6 ecf ve öncesi 
 RealSecure Sentry 3.6 ecf ve öncesi 
 Sunucusu 3.6 ecf için BlackICE Agent ve daha önce
 Siyah PC Koruma 3.6 ccf ve öncesi
 BlackICE Sunucu Koruması 3.6 ccf ve öncesi

Kendi kodunu bilgisayardan bilgisayara gönderir ve ISS ürünlerinin programlanmasında bir kusurdan yararlanarak kodu başlatır.

Solucan son derece küçüktür ve 768 bayttan 1148 bayta kadar büyüklüktedir (ikincisi, şimdiye kadar tespit edilen en büyük örnektir. Solucanın büyüklüğü verilen değerlerden daha küçük olabilir.

Solucan sadece bellekte bulunur ve kendini diske kopyalamaz. ISS ürünlerindeki savunmasız kütüphane iss-pam1.dll dosyasının bir kısmını kendi verileriyle üzerine yazmaya çalışır.

Virüs bulaşan bilgisayarda etkinleştirildiğinde, solucan rastgele bir IP adresi oluşturur ve yukarıda belirtilen güvenlik açığından yararlanarak kendi kodunu kendi adresine gönderir. UPD 4000'i kaynak port olarak kullanır.

Böyle bir veri paketini alırken, korunmasız ISS ürünlerinin yüklü olduğu herhangi bir uzak bilgisayar, onu bir gelen ICQ paketi olarak ele alır ve buna göre işlemeye çalışır.

Bu hatanın sonucu, solucanın çalıştırılabilir kodunun, kurbanın bilgisayarının belleğine girmesi ve kendi kopyalarını göndermeye başlamasıdır.

Veri paketi rastgele seçilen IP adresinden gönderildiğinde, solucan bir adres seçme ve 20.000 kez veri gönderme işlemini tekrarlar. Ardından, iss-pam1.dll dosyasından ilk 65 KB veriyi virüslü bilgisayarın rastgele seçilen disk sektörlerine yazmayı dener.

Yukarıdaki işlem tamamlandığında, tüm döngü tekrarlanır.

Aşağıda gösterilen metin solucan kodunda görülebilir:

 (^. ^) esprili iletiyi buraya ekleyin. (^. ^) 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP

Saldırıların uygulanması

Saldırı yapmak için solucan, ISS ürünlerinin programlanmasında hatalardan birini kullanır. Satıcıların sitesinde bir açıklama bulunabilir.

Witty, ilk kez Mart 2004'te tanımlanan ISS Ürünlerinde ICQ Ayrıştırma'daki güvenlik açığını sömürüyor.

Bu kusur için yamalar ISS sitesinden indirilebilir .

Özellikle, Esprili yaymak için kullandığı yöntemler başka fileless solucan, hangi olanlara hemen hemen aynı Slammer'dir Ocak 2003'te kullandı.

Solucan, sistemlerinde savunmasız ISS ürünleri bulunmayan kullanıcılara herhangi bir tehdit oluşturmaz.

Solucan, disk üzerinde kendi kopyalarını oluşturmaz ve sadece RAM'de yerleşiktir. Virüs bulaşan sistem yeniden başlatıldığında, solucan çalışmaya son verir.

Kasperskys İnternet saldırılarının analizi, 22 Mart 2004 tarihinden itibaren, solucanın ilk ortaya çıkmasından 48 saat sonra, Witty'nin şu anda aktif olan tüm Internet solucanları arasında (e-posta solucanlar hariç) 13. sırada yer aldığı ve% 0.32'lik bir derecelendirmeyle sonuçlandığını gösteriyor.

Orijinaline link

Sınıf	Net-Worm
Platform	Win32
Açıklama	Teknik detaylar BlackIce ve Blackworm olarak da bilinen bu filizli solucan, aşağıdaki hassas ISS ürünlerini kullanan bilgisayarları enfekte eder: RealSecure Network 7.0, XPU 22.11 ve öncesi RealSecure Sunucu Sensörü 7.0 XPU 22.11 ve öncesi Windows SR 3.10 ve öncesi için RealSecure Server Sensor 6.5 Proventia A Serisi XPU 22.11 ve öncesi Proventia G Serisi XPU 22.11 ve öncesi Proventia M Serisi XPU 1.9 ve öncesi RealSecure Desktop 7.0 ebl ve öncesi RealSecure Desktop 3.6 ecf ve öncesi RealSecure Guard 3.6 ecf ve öncesi RealSecure Sentry 3.6 ecf ve öncesi Sunucusu 3.6 ecf için BlackICE Agent ve daha önce Siyah PC Koruma 3.6 ccf ve öncesi BlackICE Sunucu Koruması 3.6 ccf ve öncesi Kendi kodunu bilgisayardan bilgisayara gönderir ve ISS ürünlerinin programlanmasında bir kusurdan yararlanarak kodu başlatır. Solucan son derece küçüktür ve 768 bayttan 1148 bayta kadar büyüklüktedir (ikincisi, şimdiye kadar tespit edilen en büyük örnektir. Solucanın büyüklüğü verilen değerlerden daha küçük olabilir. Solucan sadece bellekte bulunur ve kendini diske kopyalamaz. ISS ürünlerindeki savunmasız kütüphane iss-pam1.dll dosyasının bir kısmını kendi verileriyle üzerine yazmaya çalışır. Virüs bulaşan bilgisayarda etkinleştirildiğinde, solucan rastgele bir IP adresi oluşturur ve yukarıda belirtilen güvenlik açığından yararlanarak kendi kodunu kendi adresine gönderir. UPD 4000'i kaynak port olarak kullanır. Böyle bir veri paketini alırken, korunmasız ISS ürünlerinin yüklü olduğu herhangi bir uzak bilgisayar, onu bir gelen ICQ paketi olarak ele alır ve buna göre işlemeye çalışır. Bu hatanın sonucu, solucanın çalıştırılabilir kodunun, kurbanın bilgisayarının belleğine girmesi ve kendi kopyalarını göndermeye başlamasıdır. Veri paketi rastgele seçilen IP adresinden gönderildiğinde, solucan bir adres seçme ve 20.000 kez veri gönderme işlemini tekrarlar. Ardından, iss-pam1.dll dosyasından ilk 65 KB veriyi virüslü bilgisayarın rastgele seçilen disk sektörlerine yazmayı dener. Yukarıdaki işlem tamamlandığında, tüm döngü tekrarlanır. Aşağıda gösterilen metin solucan kodunda görülebilir: (^. ^) esprili iletiyi buraya ekleyin. (^. ^) 32Qhws2 QhsockTS QhsendTS Qhel32hkernT QhounthickChGetTTP Saldırıların uygulanması Saldırı yapmak için solucan, ISS ürünlerinin programlanmasında hatalardan birini kullanır. Satıcıların sitesinde bir açıklama bulunabilir. Witty, ilk kez Mart 2004'te tanımlanan ISS Ürünlerinde ICQ Ayrıştırma'daki güvenlik açığını sömürüyor. Bu kusur için yamalar ISS sitesinden indirilebilir . Özellikle, Esprili yaymak için kullandığı yöntemler başka fileless solucan, hangi olanlara hemen hemen aynı Slammer'dir Ocak 2003'te kullandı. Solucan, sistemlerinde savunmasız ISS ürünleri bulunmayan kullanıcılara herhangi bir tehdit oluşturmaz. Solucan, disk üzerinde kendi kopyalarını oluşturmaz ve sadece RAM'de yerleşiktir. Virüs bulaşan sistem yeniden başlatıldığında, solucan çalışmaya son verir. Kasperskys İnternet saldırılarının analizi, 22 Mart 2004 tarihinden itibaren, solucanın ilk ortaya çıkmasından 48 saat sonra, Witty'nin şu anda aktif olan tüm Internet solucanları arasında (e-posta solucanlar hariç) 13. sırada yer aldığı ve% 0.32'lik bir derecelendirmeyle sonuçlandığını gösteriyor.
	Orijinaline link

Net-Worm.Win32.Witty

Teknik detaylar

Saldırıların uygulanması