Wurm Witty dringt über Lücke in Sicherheitsprodukte von ISS ein

Der Wurm Witty dringt über Netzwerke in verwundbare Intrusion-Prevention- und Detection-Produkte des Herstellers Internet Security Systems ein.

In Pocket speichern vorlesen Druckansicht 210 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Der Wurm Witty dringt über Netzwerke in verwundbare Intrusion-Prevention- und Detection-Produkte des Herstellers Internet Security Systems ein. Dabei nutzt er das kürzlich gemeldete Sicherheitsloch im Modul zum Analysieren von ICQ-Paketen aus, womit es möglich ist, Code auf den Stack des angegriffenen Systems zu schreiben und auszuführen. Von infizierten Rechnern verbreitet sich Witty weiter, indem er ICQ-Pakete an 20.000 zufällig erzeugte IP-Adressen versendet.

Nach Angaben von NAI reicht ein Reboot des Systems aus, um sich des Wurms zu entledigen, da dieser nur speicherresident arbeitet und sich nicht auf die Festplatte schreibt. Meldungen von Netcraft zufolge zerstört der Wurm beim Versuch eines Reboots aber zufällig ausgewählte Inhalte der Festplatte und macht damit einige Systeme unbrauchbar. Symantec will aber festgestellt haben, dass Witty immer 128 Sektoren in einem zufällig gewählten Laufwerk auf infizierten Rechnern überschreibt.

Der 909 Bytes lange Wurm kann folgende System infizieren:

  • BlackICE Agent for Server 3.6 ebz, ecd, ece, ecf
  • BlackICE PC Protection 3.6 cbz, ccd, ccf
  • BlackICE Server Protection 3.6 cbz, ccd, ccf
  • RealSecure® Network 7.0, XPU 22.4 and 22.10
  • RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
  • RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
  • RealSecure Desktop 3.6 ebz, ecd, ece, ecf
  • RealSecure Guard 3.6 ebz, ecd, ece, ecf
  • RealSecure Sentry 3.6 ebz, ecd, ece, ecf

Gegen einen erneuten Befall hilft nur das Einspielen der Patches.

Siehe dazu auch: (dab)