Witty - Новый червь, заражающий ISS blackICE

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE персонального файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.

Червь распространяется по 4000 UDP порту и использует тот же “PUSH” принцип, заложенный в черве SQL Slammer. После заражения червь рассылает свое тело (между 768 и 1280 байт) в UDP пакетах с портом источника 4000 и случайным портом адресата к 20000 случайным IP адресам. После отсылки 20000 пакетов, червь перезаписывает 128 случайных секторов на одном из первых 8 жестких дисков. Затем червь продолжает свое распространение. Червь не создает каких либо файлов на жестком диске и полностью уничтожается при перезагрузки системы.

Подробнее об уязвимости в ISS Blackice можно посмотреть здесь: http://www.securitylab.ru/43850.html

SNORT сигнатура для Witty:

 alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode"; content:"|65 74
  51 68 73 6f 63 6b 54 53|"; depth:246; classtype:misc-attack; 
 reference:www.lurhq.com/witty.html; sid:1000078; rev:1;) 
 
Анализ эксплоита:
 Analyze exploit file c:\temp\temp.bin with size 0000040f
 
 Found: offset 000000ef value 5e0d409c in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d409c:
        Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA
 
 Found: offset 00000106 value 5e0d4098 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d4098:
        Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
 
 Found: offset 00000121 value 5e0d4098 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d4098:
        Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
 
 Found: offset 0000014a value 5e0d4098 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d4098:
        Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
 
 Found: offset 00000164 value 5e0d409c in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d409c:
        Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA
 
 Found: offset 0000017f value 5e0d4098 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d4098:
        Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress
 
 Found: offset 00000241 value 5e0d40dc in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d40dc:
        Rva 000d40dc is address of import fx: KERNEL32.dll!CreateFileA
 
 Found: offset 0000027a value 5e0d40c4 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d40c4:
        Rva 000d40c4 is address of import fx: KERNEL32.dll!SetFilePointer
 
 Found: offset 00000294 value 5e0d4094 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d4094:
        Rva 000d4094 is address of import fx: KERNEL32.dll!WriteFile
 
 Found: offset 0000029c value 5e0d4038 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e0d4038:
        Rva 000d4038 is address of import fx: KERNEL32.dll!CloseHandle
 
 EntryPoint Info:
 Found: offset 000002a7 value 5e077663 in module C:\Program
 Files\ISS\BlackICE\iss-pam1.dll
        Datails about 5e077663:
        Rva 00077663 value 0759e4ff
        5E077663: FF E4                         jmpn        esp