Witty - Новый червь, заражающий ISS blackICE

Witty - Новый червь, заражающий ISS blackICE

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE персонального файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.

Червь распространяется по 4000 UDP порту и использует тот же “PUSH” принцип, заложенный в черве SQL Slammer. После заражения червь рассылает свое тело (между 768 и 1280 байт) в UDP пакетах с портом источника 4000 и случайным портом адресата к 20000 случайным IP адресам. После отсылки 20000 пакетов, червь перезаписывает 128 случайных секторов на одном из первых 8 жестких дисков. Затем червь продолжает свое распространение. Червь не создает каких либо файлов на жестком диске и полностью уничтожается при перезагрузки системы.

Подробнее об уязвимости в ISS Blackice можно посмотреть здесь: http://www.securitylab.ru/43850.html

SNORT сигнатура для Witty:

  alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode"; content:"|65 74
   51 68 73 6f 63 6b 54 53|"; depth:246; classtype:misc-attack; 
  reference:www.lurhq.com/witty.html; sid:1000078; rev:1;) 
  
Анализ эксплоита:
  Analyze exploit file c:\temp\temp.bin with size 0000040f
  
  Found: offset 000000ef value 5e0d409c in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d409c:
         Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA
  
  Found: offset 00000106 value 5e0d4098 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d4098:
         Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
  
  Found: offset 00000121 value 5e0d4098 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d4098:
         Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
  
  Found: offset 0000014a value 5e0d4098 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d4098:
         Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
  
  Found: offset 00000164 value 5e0d409c in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d409c:
         Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA
  
  Found: offset 0000017f value 5e0d4098 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d4098:
         Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
  
  Found: offset 00000241 value 5e0d40dc in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d40dc:
         Rva 000d40dc is address of import fx: KERNEL32.dll!CreateFileA
  
  Found: offset 0000027a value 5e0d40c4 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d40c4:
         Rva 000d40c4 is address of import fx: KERNEL32.dll!SetFilePointer
  
  Found: offset 00000294 value 5e0d4094 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d4094:
         Rva 000d4094 is address of import fx: KERNEL32.dll!WriteFile
  
  Found: offset 0000029c value 5e0d4038 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e0d4038:
         Rva 000d4038 is address of import fx: KERNEL32.dll!CloseHandle
  
  EntryPoint Info:
  Found: offset 000002a7 value 5e077663 in module C:\Program
  Files\ISS\BlackICE\iss-pam1.dll
         Datails about 5e077663:
         Rva 00077663 value 0759e4ff
         5E077663: FF E4                         jmpn        esp
  

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь