Última actualització: 22/08/2004; 21:05:04
Weblog d'en Xavi Caballé
Pàgina personal de Xavier Caballé.
"All my struggling in the world and so many dreams that don't come true"
        

Witty

Anàlisi de la velocitat de propagació de Witty

CAIDA publica un estudi on s'analitza la velocitat de propagació del cuc Witty. És interessant conèixer quina velocitat ha arribat a Witty ja que és un dels primers cucs de distribució massiva amb una capacitat altament destructiva.

Witty és un cuc descobert el 19 de març que utilitza una vulnerabilitat existent a diversos productes d'ISS (BlackICE, RealSecure Network, RealSecure Desktop, RealSecure Guard i RealSecure Sentry). Concretament la vulnerabilitat es troba a la funció de procés de les respostes ICQ dels mòduls d'anàlisi (PAM) d'aquests productes d'ISS.

Una vegada infectat un equip, Witty comença la seva distribució enviant còpies d'ell mateix de forma indiscriminada. La propagació es realitza mitjançant paquets UDP (port 400), amb adreces IP amb l'orígen falsificat, enviats a adreces i ports aleatoris.

Una característica peculiar de Witty és que actua de forma cíclica: primer envia un nombre predeterminat de paquets amb còpies del cuc. Completat aquest nombre, realitza una operació destructiva a l'ordinador infectat: esborra un bloc del disc dur, de 64 KB de mida, eliminant qualsevol informació que hi pugui estar emmagatzemada. A continuació torna a iniciar l'enviament dels 20.000 paquets i esborrar una altra àrea del disc, repetint aquesta operació mentre sigui possible.

Si bé aquest cuc no ha sortit mai en les estadístiques, a causa del nombre reduït d'objectius vulnerables, si és de destacar aquest component destructiu. No estem acostumats a cucs que actuïn d'aquesta forma als sistemes infectats.

CAIDA és una organització independent creada per la Universitat de Califòrnia a San Diego i patrocinada per diferents fabricants tecnològics. L'estudi acabat de publicat analitza com ha estat la velocitat de propagació de Witty. Una característica que destaquen és que, si bé el nombre de sistemes infectats és relativament baix, aquests destaquen per disposar d'una bona connexió.

Gràcies a aquesta situació particular, molts sistemes infectats es van convertir en autèntics sistemes de propagació, amb una capacitat d'enviament de paquets mitjana situada en els 3 Mbps (357 paquets per segon), amb situacions extremes d'equips que enviaven a una velocitat de 80 Mbps de forma continuada durant més d'una hora.

Una altra característica a destacar de Witty és que s'ha mostrat especialment eficient en infectar equips situats darrere de dispositius que realitzaven traducció d'adreces (NAT).

Ens trobem, tal com adverteix l'estudi, davant un precedent greu. Witty mostra que un cuc pot tenir efectes destructius i una gran capacitat de propagació. Si hagués utilitzat alguna vulnerabilitat més greu, els efectes generals podrien haver estat molt més greus.

Per a saber més

The Spread of the Witty Wom
http://www.caida.org/analysis/security/witty/

Alert – Black Ice Worm
http://isc.sans.org/diary.html?date=2004-03-20

Vulnerability in ICQ Parsing in ISS Products
http://xforce.iss.net/xforce/alerts/id/166

Internet Security Systems PAM ICQ Server Response Processing Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20040318.html

Witty Worm: Important Information for Internet Security Systems Customers
http://www.iss.net/support/wittyworm.php

Anàlisi del cuc “Witty”
http://www.quands.cat/2004/03/27.html#a2011

Witty Worm Analysis
http://www.lurhq.com/witty.html

Black Ice Worm Disassembly
http://www.caida.org/analysis/security/witty/BlackIceWorm.html

Xavier Caballé
xcaballe@quands.com

© Copyright 2003-2004 Xavier Caballe. Click here to send an email to the editor of this weblog.
Last update: 22/08/2004; 21:05:04.