Witty - Новый червь, заражающий ISS blackICE

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.

В сети появился новый червь (Witty), заражающий пользователей ISS blackICE персонального файрвалла. Червь эксплуатирует недавно обнаруженную уязвимость в обработчике ICQ протокола.

Червь распространяется по 4000 UDP порту и использует тот же “PUSH” принцип, заложенный в черве SQL Slammer. После заражения червь рассылает свое тело (между 768 и 1280 байт) в UDP пакетах с портом источника 4000 и случайным портом адресата к 20000 случайным IP адресам. После отсылки 20000 пакетов, червь перезаписывает 128 случайных секторов на одном из первых 8 жестких дисков. Затем червь продолжает свое распространение. Червь не создает каких либо файлов на жестком диске и полностью уничтожается при перезагрузки системы.

Подробнее об уязвимости в ISS Blackice можно посмотреть здесь: http://www.securitylab.ru/43850.html

SNORT сигнатура для Witty:

alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode"; content:"|65 74
 51 68 73 6f 63 6b 54 53|"; depth:246; classtype:misc-attack; 
reference:www.lurhq.com/witty.html; sid:1000078; rev:1;) 
Анализ эксплоита:
Analyze exploit file c:\temp\temp.bin with size 0000040f

Found: offset 000000ef value 5e0d409c in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d409c:
       Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA

Found: offset 00000106 value 5e0d4098 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d4098:
       Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress

Found: offset 00000121 value 5e0d4098 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d4098:
       Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress

Found: offset 0000014a value 5e0d4098 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d4098:
       Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress

Found: offset 00000164 value 5e0d409c in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d409c:
       Rva 000d409c is address of import fx: KERNEL32.dll!GetModuleHandleA

Found: offset 0000017f value 5e0d4098 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d4098:
       Rva 000d4098 is address of import fx: KERNEL32.dll!GetProcAddress

Found: offset 00000241 value 5e0d40dc in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d40dc:
       Rva 000d40dc is address of import fx: KERNEL32.dll!CreateFileA

Found: offset 0000027a value 5e0d40c4 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d40c4:
       Rva 000d40c4 is address of import fx: KERNEL32.dll!SetFilePointer

Found: offset 00000294 value 5e0d4094 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d4094:
       Rva 000d4094 is address of import fx: KERNEL32.dll!WriteFile

Found: offset 0000029c value 5e0d4038 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e0d4038:
       Rva 000d4038 is address of import fx: KERNEL32.dll!CloseHandle

EntryPoint Info:
Found: offset 000002a7 value 5e077663 in module C:\Program
Files\ISS\BlackICE\iss-pam1.dll
       Datails about 5e077663:
       Rva 00077663 value 0759e4ff
       5E077663: FF E4                         jmpn        esp

или введите имя

CAPTCHA