W czasie ostatniego weekendu do sieci został wpuszczony nowy bardzo szybko rozpowszechniający się wirus. Witty - taka jest jego nazwa, wykorzystuje on lukę w oprogramowaniu ISS (Internet Security Software) odkrytą przez eEye Digital Security.
Autor wirusa napisał go w ciągu dwóch dni od publicznego udostępnienia informacji o luce w oprogramowaniu ISS. Odnaleziony błąd dotyczy funkcji Protocol Analysis Module, która odpowiada za monitorowanie odpowiedzi serwera ICQ. Wirus wykorzystuje jej podatność na przepełnienie bufora (buffer overflow).
Witty rozprzestrzenia się w podobny sposób jak przed ponad rokiem Slammer. Wirus wyszukuje systemy podatne na błąd w fierwallach ISS (BlackICE i RealSecure) i infekuje je bez żadnej pomocy ze strony użytkownika.
Atak rozpoczyna się przy użyciu pojedynczego pakietu UDP z portem źródłowym ustalonym na 4000. Port docelowy jest wybierany w sposób losowy.
Joe Stewart z ISS poinformował, że robak wysyła 20 000 pakietów do losowo wybranych adresów IP, a następnie próbuje nadpisać dane zapisane na dysku fizycznym zainfekowanego systemu.
Programista umieścił w kodzie źródłowym poniższą informację.
"insert.witty.message.here."
Zalecamy aktualizację oprogramowania lub zablokowania pakietów UDP przychodzących do portu 4000.
Aktualizacja jest dostępna pod tym adresem.
Źródło informacji: CNET News
Witty infekuje oprogramowanie ISS
Wirusy komputerowe |
Wt, 23 Marz 2004 11:50:06 +0100 |
Autor:
Redakcja
| Czytań: 2017
Pozostałe wiadomości w kategorii Wirusy komputerowe (326)
Top 20 news
Komentarze
Najaktywniejsi
1
Rellik 9640 pkt.
2
grzemach 870 pkt.
3
betaKondor 470 pkt.
4
Koras 350 pkt.
5
Localghost 140 pkt.
6
kris2005a 140 pkt.
7
elmocamp 100 pkt.
8
Tommy 100 pkt.
9
Scoti 80 pkt.
10
sevar 60 pkt.
W tej chwili nie ma jeszcze komentarzy. Możesz jednak dodać swój własny.
Aby dodawać komentarze musisz się zalogować.