Przez weekend w sieci pojawił się nowy robak, znany jako “Witty”. Atakuje oprogramowanie ISS, BlackICE oraz RealSecure, wykorzystując podatność w parserze ICQ, opublikowaną 18 marca przez eEye Digital Security.
Luka wykorzystywana przez robaka to przepełnienie bufora w funkcji Protocol Analysis Module, odpowiedzialnej za monitorowanie odpowiedzi serwera ICQ.

Atak przeprowadzany jest przez robaka za pomocą pojedyńczego pakietu UDP, z portem źródłowym ustalonym na 4000. Port docelowy jest losowy.

Robak rezyduje jedynie w pamięci. Po infekcji rozsyła 20 000 pakietów do losowych adresów IP, po czym usiłuje losowo nadpisać partie danych na dysku fizycznym. Cykl ten jest powtarzany co 20 000 pakietów.

Według naszych obserwacji, robak wciąż jest bardzo aktywny w sieci. Obecnie obserwujemy około 150 unikalnych prób ataku na godzinę – w początkowej fazie propagacji unikalnych prób było prawie dziesięć razy więcej, około 1300.

Komunikat ISS i lista podatnego oprogramowania: http://xforce.iss.net/xforce/alerts/id/167

Wpis utworzony 22 marca 2004 o 9:03 i umieszczony w kategorii Bez kategorii. Możesz śledzić wszystkie odpowiedzi korzystając z RSS 2.0