24 marca 2004

Worm.Win32.Witty - atakuje produkty ISS

Jest to robak bezplikowy znany również jako BlackIce oraz Blackworm, infekujący komputery za pośrednictwem luk w zabezpieczeniach produktów ISS. Rozmiar robaka jest bardzo mały - około 1 KB.

Szkodnik atakuje komputery poprzez luki w następujących aplikacjach ISS:

  • RealSecure Network 7.0 XPU 22.11 i starsze
  • RealSecure Server Sensor 7.0 XPU 22.11 i starsze
  • RealSecure Server Sensor 6.5 for Windows SR 3.10 i starsze
  • Proventia A Series XPU 22.11 i starsze
  • Proventia G Series XPU 22.11 i starsze
  • Proventia M Series XPU 1.9 i starsze
  • RealSecure Desktop 7.0 ebl i starsze
  • RealSecure Desktop 3.6 ecf i starsze
  • RealSecure Guard 3.6 ecf i starsze
  • RealSecure Sentry 3.6 ecf i starsze
  • BlackICE Agent for Server 3.6 ecf i starsze
  • BlackICE PC Protection 3.6 ccf i starsze
  • BlackICE Server Protection 3.6 ccf i starsze

Szkodnik jest aktywny wyłącznie w pamięci i nie tworzy własnych kopii na dysku twardym. Podejmuje natomiast próbę nadpisania własnym kodem części biblioteki iss-pam1.dll.

Po aktywacji robak generuje losowy adres IP i wysyła pod niego własny kod wraz z exploitem. Szkodnik korzysta z portu UDP 4000.

Gdy taki pakiet trafi do komputera wykorzystującego jeden z wymienionych powyżej produktów ISS, dla którego nie zainstalowano odpowiednich łat, zostanie on potraktowany jako nadchodzący pakiet ICQ. W rezultacie kod wykonywalny robaka dostaje się do pamięci atakowanej maszyny i rozpoczyna dalsze rozprzestrzenianie.

Po wysłaniu pakietu pod losowy adres IP robak powtarza ten proces 20 000 razy, po czym podejmuje próbę zapisania początkowych 65 KB danych pliku iss-pam1.dll do losowych sektorów dysku zainfekowanego komputera.

Po wykonaniu opisanych operacji cały cykl rozpoczyna się od początku.

Implementacja ataków

W celu przeprowadzania ataków robak wykorzystuje jeden z błędów w programowaniu produktów ISS. Opis tych błędów można znaleźć na stronie producenta.

Witty wykorzystuje lukę w procedurze ICQ Parsing wykorzystywanej przez produkty ISS. Lukę tę wykryto w marcu 2004. Łaty usuwające lukę można pobrać ze strony ISS.

Robak nie stanowi żadnego zagrożenia dla użytkowników, którzy nie zainstalowali w swoich systemach "dziurawych" produktów ISS.

Warto wspomnieć, że sposób atakowania komputerów wykorzystywany przez robaka Witty po raz pierwszy wykorzystano w styczniu 2003, w bezplikowym robaku Slammer.

W kodzie robaka zapisany jest następujący tekst:

(^.^)      insert witty message here.      (^.^) 
32Qhws2
QhsockTS
QhsendTS
Qhel32hkernT
QhounthickChGetTTP