Szellemeskedünk? - új hálózati féreg

Geza Papp, 2004. március 21. 08:52
Több híres szakmai levelezőlista 2004. március 20-án 19.00 körüli időben jelezte, hogy a tűzfalak UDP portjait támadja valami. Ezt is figyelembe véve, a jelzéssel párhuzamosan az F-Secure cég is hasonló jelenséget észlelt, majd "megtalálta a bűnöst", aminek analízise folyamatban van.
A cég előzetes beszámolóját kaptam meg:

Az eddig ismeretlen kórokozót "Witty" (szellemes) néven regisztrálták. Az F-Secure Radar Alert: Lebel 2 fokozatra értékelte az új féreg veszélyességét.

Amit most tudunk:
Név: Witty
Más név: Blacjworm, Black Ice
Méret: 909 byt

Összefoglaló:

A Witty egy klasszikus hálózati féreg, ami csak a a közvetlen hálózati kapcsolatokon át terjed, nem terjed e-maileken. Elsődleges célpontjai azok a gépek, melyeken BlackIce biztonság szoftver fut. Ha nem fut BlackIce szoftver a rendszeren, ez a féreg nem fogja megfertőzni azt. Az F-Secure tűzfala az alap beállítások esetén is blokkolja.

Több információ olvasható az Incident.org-on. http://isc.sans.org/diary.html?/date=2004-03-20

Részletes leírás

A Witty kihasznál egy ICQ sérülékenységet. Az ICQ azonnali üzenő protokollt elemező rutinja az ISS Protocol Analysis Module (PAM). A sebezhetőségről több információt kapunk az érintett termék egy weboldalán. http://xforce.iss.net/xforce/alerts/ID/166

A féreg mérete azt sugallja, hogy manuálisan, assembly programnyelven írták. A kód a központja egy szűk "hurok", ami képes generálni UDP 4000 port kiinduló ponttal olyan csomagokat, melyek célpontja és az "áldozat" UDP portja véletlenszerűen változik (mindez lehetne állandó is, de így a cél és annak érintett portja mindig változik). A féreg az UDP csomagokban küldi el másolatait 20 000 véletlenszerű IP címre.

Ezután az elküldött 20 000 csomag után a Witty kinyit egy véletlenszerű fizikai drivert, ahol még nem ismert műveleteket végez. Ennek a részletei még nem teljesen tiszták, ezért a vizsgálatok folyamatban vannak. Rendszer újraindításakor futni kezd a féreg is, elkezdi "irdatlan terjedését" - ami azzal jár, hogy az állandóan ismétlődő csomagküldés folyamán a gép állandóan újraindul, majd e miatt az Operációs rendszer összeomolhat.

A féreg az alábbi szöveget tartalmazza:

(^.^) insert witty message here (^.^)

Észlelés

Elsősorban az UDP forgalom emelkedése, amit azonnal blokkolni kell - a gépünkön a kifelé induló csomagok előtt le kell zárni az UDP 4000 portot - a rendszeradminisztrátoroknak is ezt tudjuk tanácsolni.