BU SERVİS, GOOGLE TARAFINDAN SAĞLANAN ÇEVİRİLER İÇEREBİLİR. GOOGLE, HERHANGİ BİR GARANTİ, GÜVENİLİRLİK VE TİCARİ ELVERİŞLİLİK, BELİRLİ BİR AMACA UYGUNLUK VE İHLAL ETMEME GARANTİLERİ DAHİL OLMAK ÜZERE AÇIK VEYA ZIMNİ GARANTİLER DE DAHİL OLMAK ÜZERE, AÇIK VEYA ZIMNİ TÜM GARANTİLERİ REDDEDER.

Kaspersky Lab web sitesi, Google Çeviri tarafından desteklenen çeviri yazılımı kullanılarak size kolaylık sağlamak amacıyla tercüme edilmiştir. Doğru bir çeviri sağlamak için makul çabalar sarf edilmiştir, ancak otomatik çeviri mükemmel değildir ve insan çevirmenlerinin yerini alması amaçlanmamıştır. Çeviriler, Kaspersky Lab web sitesinin kullanıcılarına bir hizmet olarak sunulur ve "olduğu gibi" sağlanır. İngilizce'den başka bir dile çevrilmiş herhangi bir çevirinin doğruluğu, güvenilirliği veya doğruluğu konusunda açık ya da zımni hiçbir garanti verilmemektedir. Çeviri yazılımı sınırlamaları nedeniyle bazı içerikler (görüntüler, videolar, Flash vb. Gibi) doğru bir şekilde çevrilemeyebilir.

Net-Worm.Win32.Witty

Sınıf Net-Worm
Platform Win32
Açıklama

Teknik detaylar

BlackIce ve Blackworm olarak da bilinen bu filizli solucan, aşağıdaki hassas ISS ürünlerini kullanan bilgisayarları enfekte eder:

 RealSecure Network 7.0, XPU 22.11 ve öncesi
 RealSecure Sunucu Sensörü 7.0 XPU 22.11 ve öncesi 
 Windows SR 3.10 ve öncesi için RealSecure Server Sensor 6.5 
 Proventia A Serisi XPU 22.11 ve öncesi
 Proventia G Serisi XPU 22.11 ve öncesi
 Proventia M Serisi XPU 1.9 ve öncesi
 RealSecure Desktop 7.0 ebl ve öncesi
 RealSecure Desktop 3.6 ecf ve öncesi
 RealSecure Guard 3.6 ecf ve öncesi 
 RealSecure Sentry 3.6 ecf ve öncesi 
 Sunucusu 3.6 ecf için BlackICE Agent ve daha önce
 Siyah PC Koruma 3.6 ccf ve öncesi
 BlackICE Sunucu Koruması 3.6 ccf ve öncesi 

Kendi kodunu bilgisayardan bilgisayara gönderir ve ISS ürünlerinin programlanmasında bir kusurdan yararlanarak kodu başlatır.

Solucan son derece küçüktür ve 768 bayttan 1148 bayta kadar büyüklüktedir (ikincisi, şimdiye kadar tespit edilen en büyük örnektir. Solucanın büyüklüğü verilen değerlerden daha küçük olabilir.

Solucan sadece bellekte bulunur ve kendini diske kopyalamaz. ISS ürünlerindeki savunmasız kütüphane iss-pam1.dll dosyasının bir kısmını kendi verileriyle üzerine yazmaya çalışır.

Virüs bulaşan bilgisayarda etkinleştirildiğinde, solucan rastgele bir IP adresi oluşturur ve yukarıda belirtilen güvenlik açığından yararlanarak kendi kodunu kendi adresine gönderir. UPD 4000'i kaynak port olarak kullanır.

Böyle bir veri paketini alırken, korunmasız ISS ürünlerinin yüklü olduğu herhangi bir uzak bilgisayar, onu bir gelen ICQ paketi olarak ele alır ve buna göre işlemeye çalışır.

Bu hatanın sonucu, solucanın çalıştırılabilir kodunun, kurbanın bilgisayarının belleğine girmesi ve kendi kopyalarını göndermeye başlamasıdır.

Veri paketi rastgele seçilen IP adresinden gönderildiğinde, solucan bir adres seçme ve 20.000 kez veri gönderme işlemini tekrarlar. Ardından, iss-pam1.dll dosyasından ilk 65 KB veriyi virüslü bilgisayarın rastgele seçilen disk sektörlerine yazmayı dener.

Yukarıdaki işlem tamamlandığında, tüm döngü tekrarlanır.

Aşağıda gösterilen metin solucan kodunda görülebilir:

 (^. ^) esprili iletiyi buraya ekleyin. (^. ^) 
 32Qhws2
 QhsockTS
 QhsendTS
 Qhel32hkernT
 QhounthickChGetTTP 

Saldırıların uygulanması

Saldırı yapmak için solucan, ISS ürünlerinin programlanmasında hatalardan birini kullanır. Satıcıların sitesinde bir açıklama bulunabilir.

Witty, ilk kez Mart 2004'te tanımlanan ISS Ürünlerinde ICQ Ayrıştırma'daki güvenlik açığını sömürüyor.

Bu kusur için yamalar ISS sitesinden indirilebilir .

Özellikle, Esprili yaymak için kullandığı yöntemler başka fileless solucan, hangi olanlara hemen hemen aynı Slammer'dir Ocak 2003'te kullandı.

Solucan, sistemlerinde savunmasız ISS ürünleri bulunmayan kullanıcılara herhangi bir tehdit oluşturmaz.

Solucan, disk üzerinde kendi kopyalarını oluşturmaz ve sadece RAM'de yerleşiktir. Virüs bulaşan sistem yeniden başlatıldığında, solucan çalışmaya son verir.

Kasperskys İnternet saldırılarının analizi, 22 Mart 2004 tarihinden itibaren, solucanın ilk ortaya çıkmasından 48 saat sonra, Witty'nin şu anda aktif olan tüm Internet solucanları arasında (e-posta solucanlar hariç) 13. sırada yer aldığı ve% 0.32'lik bir derecelendirmeyle sonuçlandığını gösteriyor.


Orijinaline link