Wurm Witty dringt über Lücke in Sicherheitsprodukte von ISS ein
Der Wurm Witty dringt über Netzwerke in verwundbare Intrusion-Prevention- und Detection-Produkte des Herstellers Internet Security Systems ein.
Der Wurm Witty dringt über Netzwerke in verwundbare Intrusion-Prevention- und Detection-Produkte des Herstellers Internet Security Systems ein. Dabei nutzt er das kürzlich gemeldete Sicherheitsloch im Modul zum Analysieren von ICQ-Paketen [1] aus, womit es möglich ist, Code auf den Stack des angegriffenen Systems zu schreiben und auszuführen. Von infizierten Rechnern verbreitet sich Witty weiter, indem er ICQ-Pakete an 20.000 zufällig erzeugte IP-Adressen versendet.
Nach Angaben von NAI reicht ein Reboot des Systems aus, um sich des Wurms zu entledigen, da dieser nur speicherresident arbeitet und sich nicht auf die Festplatte schreibt. Meldungen von Netcraft [2] zufolge zerstört der Wurm beim Versuch eines Reboots aber zufällig ausgewählte Inhalte der Festplatte und macht damit einige Systeme unbrauchbar. Symantec will aber festgestellt haben, dass Witty immer 128 Sektoren in einem zufällig gewählten Laufwerk auf infizierten Rechnern überschreibt.
Der 909 Bytes lange Wurm kann folgende System infizieren:
- BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
- BlackICE PC Protection 3.6 cbz, ccd, ccf
- BlackICE Server Protection 3.6 cbz, ccd, ccf
- RealSecure® Network 7.0, XPU 22.4 and 22.10
- RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
- RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
- RealSecure Desktop 3.6 ebz, ecd, ece, ecf
- RealSecure Guard 3.6 ebz, ecd, ece, ecf
- RealSecure Sentry 3.6 ebz, ecd, ece, ecf
Gegen einen erneuten Befall hilft nur das Einspielen der Patches [3].
Siehe dazu auch: (dab [4])
- Wurmbeschreibung [5] von NAI
- Wurmbeschreibung [6] von Symantec
URL dieses Artikels:
https://www.heise.de/-95783
Links in diesem Artikel:
[1] https://www.heise.de/news/Wieder-Sicherheitsluecke-in-Intrusion-Prevention-Produkten-von-ISS-95571.html
[2] http://news.netcraft.com/archives/2004/03/20/witty_worm_targets_black_ice_disables_machines.html
[3] http://xforce.iss.net/xforce/alerts/id/166
[4] mailto:dab@ct.de
[5] http://vil.nai.com/vil/content/v_101118.htm
[6] http://securityresponse.symantec.com/avcenter/venc/data/w32.witty.worm.html
Copyright © 2004 Heise Medien