上周三英特网安全系统(ISS)公司软件和设备的安全缺陷刚一公布,周末便出现名为Witty的蠕虫病毒,通过寻找和利用该缺陷进行攻击,这可能是历史上最快的恶意攻击。Witty传播迅速,能在一小时内感染超过20000台机器。病毒还将重写受感染电脑中的数据,迅速摧毁系统。 英特网风暴中心( Internet StormCenter)首席技术官JohannesUllrich称:“由于病毒最终将摧毁系统,他的消逝也非常迅速。病毒自己杀死了自己,平均寿命为半小时。”他估计大约有30000台电脑曾被病毒感染,并且“由于文件被破坏,大部分的系统都在被感染后的30分钟内毁坏。”根据中心资料,Witty于上周六清晨前已经感染了大约30000台电脑,不过截至周一,病毒的活动性已经很低了。中心将其威胁警告从黄色降到了绿色。
Witty病毒通过ISS的防火墙产品和Proventia网络设备的的安全漏洞突入系统。这些防火墙产品包括BlackICE和RealSecure。
网络安全公司eEye DigitalSecurity发现该安全缺陷以后,ISS立刻在公司网站上发布了升级包,并称公司已在10天前发现了这一缺陷。ISS估计Witty病毒仅能影响其用户的2%,因为公司提供维护服务的签约用户已经在病毒出现一周前进行了系统升级。
该病毒由其程序员在源代码中留下的讯息而得名:“在此处插入Witty消息”。
该蠕虫中包含着“insert witty message here”的信息,故命名为Witty蠕虫。Witty蠕虫自身并不以文件形式存在,仅是一段UDP数据,这种情形类似于CodeRed和SqlSlamer蠕虫,只要重启系统就可以清除该蠕虫,但重启后还可能被再次感染。
由于Witty蠕虫代码中使用的API地址和溢出跳转地址都是3.6.16版本的iss-pam1.dll中硬编码的地址,也就是说,该蠕虫仅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS产品,例如BlackICE 3.6 ccf,对其他版本的产品则可能会导程序崩溃。
Witty蠕虫感染系统之后,就会向随机生成的IP地址发送自身,并且以Raw Data方式写硬盘,破坏系统数据,危害比较严重,可能导致系统无法正常启动或工作。英特网风暴中心( Internet StormCenter)首席技术官JohannesUllrich称:“由于病毒最终将摧毁系统,他的消逝也非常迅速。大部分的系统都在被感染后的30分钟内毁坏。”根据中心资料,Witty于上周六清晨前已经感染了大约30000台电脑,不过截至周一,病毒的活动性已经很低了。中心将其威胁警告从黄色降到了绿色。
受影响的软件及系统:
RealSecure Network 7.0, XPU 22.11 以及更低版本
RealSecure Server Sensor 7.0 XPU 22.11 以及更低版本
RealSecure Server Sensor 6.5 for Windows SR 3.10 以及更低版本
Proventia A Series XPU 22.11 以及更低版本
Proventia G Series XPU 22.11 以及更低版本
Proventia M Series XPU 1.9 以及更低版本
RealSecure Desktop 7.0 ebl 以及更低版本
RealSecure Desktop 3.6 ecf 以及更低版本
RealSecure Guard 3.6 ecf 以及更低版本
RealSecure Sentry 3.6 ecf 以及更低版本
BlackICE Agent for Server 3.6 ecf 以及更低版本
BlackICE PC Protection 3.6 ccf 以及更低版本
BlackICE Server Protection 3.6 ccf 以及更低版本
提醒:正在使用BlackICE个人防火墙以及RealSecure入侵检测系统的用户应当立刻升级到最新版本。
解决方法:
1、如果已经被蠕虫感染,可以首先卸载或者停用ISS产品,然后备份重要数据以防止系统重启后无法启动,重新启动系统以清除蠕虫。
2、升级ISS产品到最新版本。
3、在边界路由器或者防火墙上阻塞源端口为4000的udp数据包。由于目前ICQ客户端普遍使用TCP协议进行通信,这样阻塞并不会影响正常的ICQ使用者。
补丁下载:
目前ISS已经发布了下列各产品的补丁,请到http://www.iss.net/download升级至相应版本:
RealSecure Network 7.0, XPU 22.12
RealSecure Server Sensor 7.0 XPU 22.12
Proventia A Series XPU 22.12
Proventia G Series XPU 22.12
Proventia M Series XPU 1.10
RealSecure Desktop 7.0 ebm
RealSecure Desktop 3.6 ecg
RealSecure Guard 3.6 ecg
RealSecure Sentry 3.6 ecg
BlackICE Agent for Server 3.6 ecg
RealSecure Server Sensor 6.5 for Windows SR 3.11