RNP - Rede Nacional de Ensino e Pesquisa
 
Segurança de redes 
 

Propagação do Worm Witty / BlackIce

LURHQ-AL-20040321

[CAIS, 21.03.2004-23:44, revisão 01]


O CAIS está repassando o alerta divulgado pela LURHQ, intitulado "Witty Worm Analysis", que trata da analise do Worm Witty, que começou a se propagar no dia 20 de Marco. O worm em questao explora uma vulnerabilidade presente nos produtos da ISS, ICQ Parser Protocol Analysis Module, que permite a Worm infectar os sistemas vulneráveis.

Algumas características do Worm:

  • Ataca somente produtos da ISS vulneráveis que estejam instalados no sistema.
  • Corrompe os dados nos sistemas infectados.
  • Gera um alto consumo de banda ao se propagar.
  • Utiliza a porta origem 4000/UDP.

Sistemas afetados:

Este Worm somente ataca sistemas que utilizam os seguintes produtos vulneráveis da ISS:

  • RealSecure Network 7.0, XPU 22.11 e anteriores
  • RealSecure Server Sensor 7.0 XPU 22.11 e anteriores
  • RealSecure Server Sensor 6.5 for Windows SR 3.10 e anteriores
  • Proventia A Series XPU 22.11 e anteriores
  • Proventia G Series XPU 22.11 e anteriores
  • Proventia M Series XPU 1.9 e anteriores
  • RealSecure Desktop 7.0 ebl e anteriores
  • RealSecure Desktop 3.6 ecf e anteriores
  • RealSecure Guard 3.6 ecf e anteriores
  • RealSecure Sentry 3.6 ecf e anteriores
  • BlackICE Agent for Server 3.6 ecf e anteriores
  • BlackICE PC Protection 3.6 ccf e anteriores
  • BlackICE Server Protection 3.6 ccf e anteriores

Correções disponíveis:

Recomenda-se fazer a atualização para as versões mais recentes disponíveis em:


A assinatura a seguir utilizada no Snort identifica o pacote inicial do Witty:

alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode";
content:"|65 74 51 68 73 6f 63 6b 54 53|"; depth:246;
classtype:misc-attack; reference:www.lurhq.com/witty.html; sid:1000078;
rev:1;)

Maiores informações:


O CAIS recomenda aos administradores manterem seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versões e correções disponibilizadas pelos fabricantes.



Centro de Atendimento a Incidentes de Segurança


Referências:

LURHQ-AL-20040321

LURHQ-AL-20040321.txt download do arquivo

formato: text/xml



Consulta em alertas

 


Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br


Chave PGP pública do Cais