После сообщения об уязвимости в продуктах ISS, использующих протокол ICQ (RealSecure, Proventia, BlackICE), о которой мы сообщали вчера, тут же появился новый червь использующий эту уязвимость. Антивирусные компании назвали его Witty (другие названия - Blackworm, Black Ice). Подробнейший анализ червя был сделан компанией LURHQ, позже об этом черве написали F-Secure, также анализ провёл господин Johannes Ullrich (или госпожа - не суть важно) из института SANS. Червь распространяется от произвольного IP-адреса (заражённой машины, естественно) от имени порта 4000/UDP (что естественно - именно по этому протоколу идёт обмен с ICQ-сервером). Червь является исключительно сетевым и не распространяется посредством почты. После заражения червь посылает себя по 20000 случайным IP-адресам. UDP-пакет, посылаемый червем содержит 1025 байт, однако информационную нагрузку несут первые 470 байт (тело червя), остальное - содержимое памяти, содержащееся после выполнения переполнения буфера. После отсылки своего текста червь перезаписывает 65К случайных данных на жёстком диске заражённой машины. Примечательно, что червь не записывает свой код на диск и уничтожается из памяти после перезагрузки системы. Что касается поведения BlackIce, то после заражения пользователю не удастся отключить его через опции иконки в системном трэе. Вместо этого выводится сообщение "Operation could not be completed. Access is denied". Выпущены правила для Snort для определения деятельности червя. Особую опасность представляет случай порчи данных на жёстком диске, что может привести к невозможности дальнейшего функционирования системы. Для предотвращения паразитного трафика в сетях рекомендуется перекрыть входящий трафик с портом источника 4000. Удручает, что пока ни одна российская антивирусная компания на своём сайте не сообщила об этом черве.
Описание от LURHQ - http://www.lurhq.com/witty.html
Ещё подробности - http://isc.incidents.org/diary.html?date=2004-03-20