В сети появился новый червь (Witty), заражающий пользователей ISS blackICE файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.
Червь распространяется по 4000 UDP порту и использует тот же “PUSH” принцип, заложенный в черве SQL Slammer. После заражения червь рассылает свое тело (между 768 и 1280 байт) в UDP пакетах с портом источника 4000 и случайным портом адресата к 20000 случайным IP адресам. После отсылки 20000 пакетов, червь перезаписывает 128 случайных секторов на одном из первых 8 жестких дисков. Затем червь продолжает свое распространение. Червь не создает каких либо файлов на жестком диске и полностью уничтожается при перезагрузки системы.
Подробнее об уязвимости в ISS Blackice можно посмотреть здесь: http://www.securitylab.ru/43850.html
SNORT сигнатура для Witty:
alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode"; content:"|65 74 51 68 73 6f 63 6b 54 53|"; depth:246; classtype:misc-attack; reference:www.lurhq.com/witty.html; sid:1000078; rev:1;)Анализ эксплоита:
Analyze exploit file c:\temp\temp.bin with size 0000040f Found: offset 000000ef value 5e0d409c in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d409c: Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA Found: offset 00000106 value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 00000121 value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 0000014a value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 00000164 value 5e0d409c in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d409c: Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA Found: offset 0000017f value 5e0d4098 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4098: Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress Found: offset 00000241 value 5e0d40dc in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d40dc: Rva 000d40dc is address of import fx: KERNEL32.dll!CreateFileA Found: offset 0000027a value 5e0d40c4 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d40c4: Rva 000d40c4 is address of import fx: KERNEL32.dll!SetFilePointer Found: offset 00000294 value 5e0d4094 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4094: Rva 000d4094 is address of import fx: KERNEL32.dll!WriteFile Found: offset 0000029c value 5e0d4038 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e0d4038: Rva 000d4038 is address of import fx: KERNEL32.dll!CloseHandle EntryPoint Info: Found: offset 000002a7 value 5e077663 in module C:\Program Files\ISS\BlackICE\iss-pam1.dll Datails about 5e077663: Rva 00077663 value 0759e4ff 5E077663: FF E4 jmpn esp
Ладно, не доказали. Но мы работаем над этим