Szellemeskedünk? - új hálózati féreg
Geza Papp, 2004. március 21. 08:52
Több híres szakmai levelezőlista 2004. március 20-án 19.00 körüli
időben jelezte, hogy a tűzfalak UDP portjait támadja valami. Ezt is
figyelembe véve, a jelzéssel párhuzamosan az F-Secure cég is hasonló
jelenséget észlelt, majd "megtalálta a bűnöst", aminek analízise
folyamatban van.
A cég előzetes beszámolóját kaptam meg:
Az eddig ismeretlen kórokozót "Witty" (szellemes) néven regisztrálták. Az F-Secure Radar Alert: Lebel 2 fokozatra értékelte az új féreg veszélyességét.
Amit most tudunk:
Név: Witty
Más név: Blacjworm, Black Ice
Méret: 909 byt
Összefoglaló:
A Witty egy klasszikus hálózati féreg, ami csak a a közvetlen hálózati kapcsolatokon át terjed, nem terjed e-maileken. Elsődleges célpontjai azok a gépek, melyeken BlackIce biztonság szoftver fut. Ha nem fut BlackIce szoftver a rendszeren, ez a féreg nem fogja megfertőzni azt. Az F-Secure tűzfala az alap beállítások esetén is blokkolja.
Több információ olvasható az Incident.org-on. http://isc.sans.org/diary.html?/date=2004-03-20
Részletes leírás
A Witty kihasznál egy ICQ sérülékenységet. Az ICQ azonnali üzenő protokollt elemező rutinja az ISS Protocol Analysis Module (PAM). A sebezhetőségről több információt kapunk az érintett termék egy weboldalán. http://xforce.iss.net/xforce/alerts/ID/166
A féreg mérete azt sugallja, hogy manuálisan, assembly programnyelven írták. A kód a központja egy szűk "hurok", ami képes generálni UDP 4000 port kiinduló ponttal olyan csomagokat, melyek célpontja és az "áldozat" UDP portja véletlenszerűen változik (mindez lehetne állandó is, de így a cél és annak érintett portja mindig változik). A féreg az UDP csomagokban küldi el másolatait 20 000 véletlenszerű IP címre.
Ezután az elküldött 20 000 csomag után a Witty kinyit egy véletlenszerű fizikai drivert, ahol még nem ismert műveleteket végez. Ennek a részletei még nem teljesen tiszták, ezért a vizsgálatok folyamatban vannak. Rendszer újraindításakor futni kezd a féreg is, elkezdi "irdatlan terjedését" - ami azzal jár, hogy az állandóan ismétlődő csomagküldés folyamán a gép állandóan újraindul, majd e miatt az Operációs rendszer összeomolhat.
A féreg az alábbi szöveget tartalmazza:
(^.^) insert witty message here (^.^)
Észlelés
Elsősorban az UDP forgalom emelkedése, amit azonnal blokkolni kell - a gépünkön a kifelé induló csomagok előtt le kell zárni az UDP 4000 portot - a rendszeradminisztrátoroknak is ezt tudjuk tanácsolni.
Az eddig ismeretlen kórokozót "Witty" (szellemes) néven regisztrálták. Az F-Secure Radar Alert: Lebel 2 fokozatra értékelte az új féreg veszélyességét.
Amit most tudunk:
Név: Witty
Más név: Blacjworm, Black Ice
Méret: 909 byt
Összefoglaló:
A Witty egy klasszikus hálózati féreg, ami csak a a közvetlen hálózati kapcsolatokon át terjed, nem terjed e-maileken. Elsődleges célpontjai azok a gépek, melyeken BlackIce biztonság szoftver fut. Ha nem fut BlackIce szoftver a rendszeren, ez a féreg nem fogja megfertőzni azt. Az F-Secure tűzfala az alap beállítások esetén is blokkolja.
Több információ olvasható az Incident.org-on. http://isc.sans.org/diary.html?/date=2004-03-20
Részletes leírás
A Witty kihasznál egy ICQ sérülékenységet. Az ICQ azonnali üzenő protokollt elemező rutinja az ISS Protocol Analysis Module (PAM). A sebezhetőségről több információt kapunk az érintett termék egy weboldalán. http://xforce.iss.net/xforce/alerts/ID/166
A féreg mérete azt sugallja, hogy manuálisan, assembly programnyelven írták. A kód a központja egy szűk "hurok", ami képes generálni UDP 4000 port kiinduló ponttal olyan csomagokat, melyek célpontja és az "áldozat" UDP portja véletlenszerűen változik (mindez lehetne állandó is, de így a cél és annak érintett portja mindig változik). A féreg az UDP csomagokban küldi el másolatait 20 000 véletlenszerű IP címre.
Ezután az elküldött 20 000 csomag után a Witty kinyit egy véletlenszerű fizikai drivert, ahol még nem ismert műveleteket végez. Ennek a részletei még nem teljesen tiszták, ezért a vizsgálatok folyamatban vannak. Rendszer újraindításakor futni kezd a féreg is, elkezdi "irdatlan terjedését" - ami azzal jár, hogy az állandóan ismétlődő csomagküldés folyamán a gép állandóan újraindul, majd e miatt az Operációs rendszer összeomolhat.
A féreg az alábbi szöveget tartalmazza:
(^.^) insert witty message here (^.^)
Észlelés
Elsősorban az UDP forgalom emelkedése, amit azonnal blokkolni kell - a gépünkön a kifelé induló csomagok előtt le kell zárni az UDP 4000 portot - a rendszeradminisztrátoroknak is ezt tudjuk tanácsolni.
Kapcsolódó cikkek
- Hypponen Budapesten: F-Secure Client Security
- Bűnözői célkeresztben a közösségépítő oldalak
- Elérhető az F-Secure Internet Security 2007 csomagja
- Vírusvilágtérkép az F-Secure-tól
- F-Secure vírusvédelem Windows Mobile 5.0 operációs rendszerre
- Rohamosan terjed a Nyxem.E vírus, és havonta egyszer pusztít
- 20 éves a számítógépes vírus
- Díjnyertes F-Secure anti-vírus szoftver
- Béta MSN Messengernek álcázza magát a vírus
- 40 ezer új vírus