Červ W32.Witty.A se svoji funkčností tak trochu vymyká dnešní šedi běžných červů, které se od sebe liší snad už jen jmény. Witty.A využívá bezpečnostní chyby v jedné z rutin ICQ protokolu v několika produktech ISS. Červ existuje pouze v paměti počítače a nevytváří soubory na pevném disku. Mezi velmi nebezpečné vlastnosti však patří schopnost přepisovat náhodné sektory na náhodně vybraném disku.
Váš systém je v potenciálním nebezpečí, pokud používáte jeden z následujících produktů:
- BlackICE™ Agent for Server 3.6 ebz, ecd, ece, ecf
- BlackICE PC Protection 3.6 cbz, ccd, ccf
- BlackICE Server Protection 3.6 cbz, ccd, ccf
- RealSecure® Network 7.0, XPU 22.4 and 22.10
- RealSecure Server Sensor 7.0 XPU 22.4 and 22.10
- RealSecure Desktop 7.0 ebf, ebj, ebk, ebl
- RealSecure Desktop 3.6 ebz, ecd, ece, ecf
- RealSecure Guard 3.6 ebz, ecd, ece, ecf
- RealSecure Sentry 3.6 ebz, ecd, ece, ecf
V případě, že jste našli mezi výše uvedenými produkty i ten váš, neváhejte a stáhněte si opravu ze stránek BlackIce. Možnosti napadení můžete rovněž zabránit pomocí firewallu a zablokování portu UDP 4000 pro vstup i výstup. K vlastnímu šíření červ potřebuje Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003 nebo Windows XP.
Pokud se vám na počítač dostane červ Witty.A, provedou se následující akce:
- Červ odesílá sám sebe na vzdálené počítače přes UDP port 4000, předstírajíc identitu platného ICQ paketu.
- Kvůli bezpečnostní chybě získá neoprávněný přístup ke vzdálenému počítači pomocí přetečení zásobníku. Ve výsledku se v paměti vzdáleného počítače spustí červ Witty ve stejném kontextu, jako běží produkty ISS.
- Červ se rozesílá na 20.000 náhodně vygenerovaných IP adres s náhodně zvoleným cílovým portem a zdrojovým portem UDP 4000.
- Červ se pokusí přepsat 128 sektorů na náhodných místech náhodného pevného disku daty z operační paměti.
- Postup dále pokračuje návratem do bodu 3
Zdroj: Symantec
