symlink.ch | Witty Wurm frisst ISS BlackICE/RealSecure

symlink.ch

FAQ
Mission
Über uns
Richtlinien

Moderation
Einstellungen
Story einsenden

Suchen & Index
Ruhmeshalle
Statistiken
Umfragen

Redaktion
Themen
Partner
Planet

XML | RDF | RSS
PDA | WAP | IRC
Symbar für Opera
Symbar für Mozilla

Freunde

Benutzergruppen
LUG Switzerland
LUG Vorarlberg
LUGen in DE
SIUG
CCCZH
Organisationen
Wilhelm Tux
FSF Europe
Events
LinuxDay Dornbirn
BBA Schweiz
CoSin in Bremgarten AG
VCFe in München
Menschen
maol
Flupp
Ventilator
dawn
gumbo
krümelmonster
XTaran
maradong
tuxedo

Witty Wurm frisst ISS BlackICE/RealSecure

Veröffentlicht durch Ventilator am Donnerstag 17. Juni 2004, 16:44
Aus der Lamer-Exterminator Abteilung

dino schreibt: "Flupp/bit ist per Zufall drüber gestolpert und hat mich gerade drauf hingewiesen: Was lange erwartet wurde ist nun passiert: Ein Netzwurm namens Witty der nicht nur sich verbreiten will oder Backdoors aufmacht, sondern gezielt die Opfer langsam zugrunderichtet."

"Dieser Wurm fiel nicht gross auf, weil er klein ist (ganze 700 Bytes, dafuer braucht man Assembler :-), dito auch zum es verstehen), sich an zufällige IP Adressen verteilt (nicht ein Netz aufs mal stark belastet), und fehlerfrei programmiert ist (eben kein HLL Bloat :-)).
Aber was er anrichtete ist nun nach Monaten sichtbar geworden: Er beisst sich fest und killt die Opfer, gaaanz langsam und damit unauffällig, sie 64k Diskblock fuer Diskblock auffressend, die er (ebenfalls per Zufall) ueberschreibt, und zerkruemmelt somit auch gleich die Backups der letzen paar Monate.
Das ist das Neue, das man seit langem befürchtet hat, bzw sich gefragt hat, warum die bösen Virenprogrammierer das nicht machen: Vernichten und gleich auch aufs Backup abzielen. Und ja dieses Szenario ist seit über 5 Jahren bekannt, aber bisher nie durchgeführt worden.

Auch noch bemerkenswert ist, das auschliesslich ISS BlackICE/RealSecure Geräte attackiert werden (Rache?, ev Insider?) und das er alle 12000 Geräte der Sorte erwischt haben soll, und zwar in nur 45 Minuten Ausbreitungszeit."

Anmerkung von Ventilator: Und ich habe mich noch gewundert, warum die Viren bisher alle so lieb waren. Bisschen Kiste rebooten und so, bitte... Andererseits erinnert mich die Beschreibung sehr stark an den LamerExterminator oder auch Saddam-Virus auf dem Amiga.

< ZHW scannt Mailserver nach SSL-Protokoll | Druckausgabe | Wie Microsoft das Faustpfand Windows-API verspielt >

symlink.ch Login

extrahierte Links

Amiga

Open Source Initiative

dino

Witty

braucht man Assembler :-)

Mehr zu Security

Auch von Ventilator

Diese Diskussion wurde archiviert. Es können keine neuen Kommentare abgegeben werden.

Noch etwas Addendum (Score:2, Interessant)

Von dino (neil@franklin.ch.remove) am Thursday 17. June 2004, 16:58 MEW (#1)
(User #32 Info) http://neil.franklin.ch/

Ein Link zu einer detailierten Beschreibung des Wurms, inklusive disassembliertem und kommentiertem Code.

Auch frappant die schnelle Entstehung in nur 1 Tag: Scheints wird die "Fehler herausgeben ist akzeptabel, man kann sie ja patchen lassen" Einstellung endgueltig verschwinden muessen. 100% garantiert Bufferoverflow-lose Sprachen fuer Daemons werden so hoffentlich endlich zur Pflicht. und zwar schnell.

Anmerkung von Ventilator: Und ich habe mich noch gewundert, warum die Viren bisher alle so lieb waren. Bisschen Kiste rebooten und so, bitte...

Jo, das hat mich auch immer gewundert. Wohl die Opferpopulation nicht killen wollen, oder schlicht Phantasiemangel.

LamerExterminator oder auch Saddam-Virus auf dem Amiga

Und sowas duerfte der heutige PC Wirenschreiber nie gesehen haben, und so die Idee nie bekommen haben. Jetzt hat er sie. Das wird einen heissen Herbst geben. Wir leben in interessanten Zeiten.
--
hardware runs the world, software controls the hardware,
code generates the software, have you coded today

Re: Noch etwas Addendum (Score:1)

Von Seegras am Thursday 17. June 2004, 17:15 MEW (#2)
(User #30 Info) http://www.discordia.ch

... Der Witty-Worm ist nun schon fast zwei Monate her.
--
"The more prohibitions there are, The poorer the people will be" -- Lao Tse

Re: Noch etwas Addendum (Score:1)

Von dino (neil@franklin.ch.remove) am Friday 18. June 2004, 09:48 MEW (#4)
(User #32 Info) http://neil.franklin.ch/

Und ist damals scheints nicht gross aufgefallen was die Implikationen sind. Zumindest hat er nicht annaehernd die Resonanz produziert wie erheblich harmlosere Wuermer. Ansonsten wuerde Bruce Schneier das ganze wohl auch kaum eine Kolumne vor 2 Wochen wert finden.
--
hardware runs the world, software controls the hardware,
code generates the software, have you coded today

Re: Noch etwas Addendum (Score:1)

Von greybeard am Saturday 19. June 2004, 12:53 MEW (#6)
(User #412 Info)

Stellt sich die Frage, wieso die "Server-Protection"-Software auf dem Hostsystem laeuft und nicht eine eigene Box-ist.

Ich bin immer noch der Meinung, dass man Windows-Systeme nur durch MVS-Firewalls an das Netzwerk haengen sollte (wenn ueberhaupt).

gefährliche Viren (Score:2)

Von db (001@nurfuerspam.de) am Thursday 17. June 2004, 17:17 MEW (#3)
(User #1177 Info) http://www.bergernet.ch

Anmerkung von Ventilator: Und ich habe mich noch gewundert, warum die Viren bisher alle so lieb waren. Bisschen Kiste rebooten und so, bitte...

Es gab schon auch andere, aber wenige. So z.B. der CIH (W95) der bei einem Kollegen das BIOS zerstört hatte...

Re: gefährliche Viren (Score:1)

Von stamp am Friday 18. June 2004, 20:15 MEW (#5)
(User #501 Info)

duh. angst.
so ein kind kann man ja mit ein bisschen glück (jemand sollte ein vergleichbares mainboard haben) mit hausmitteln flicken... da ist mir daten überschreiben weitaus unangenehmer.
ihr seid alles kranke kinder --- www.zooomclan.org

Durchsuche symlink.ch:

Never be led astray onto the path of virtue.