Stabsstelle Informationssicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1189

[Generic] Neuer UDP-basierter Wurm "Witty" verbreitet sich (Update)
(2004-03-20 10:47:09.803988+00)

Quelle: http://isc.sans.org/diary.html?date=2004-03-20

Ein neuer Wurm verbreitet sich über UDP-Pakete und zerstört Festplatteninhalte. Ähnlich wie beim Slammer-Wurm kann es zur Überlastung des Netzes in der Nähe von infizierten Hosts kommen. Der Angriff richtet sich gegen Systeme, die die BlackICE- oder RealSecure-Software von ISS in verwundbaren Versionen einsetzen.

Betroffene Systeme
Laut ISS sind folgende Softwareprodukte betroffen (siehe Advisory):

Die Proventia-Produktreihe ist gegenüber dem Angriff durch den Wurm immun, weist aber dennoch die Schwachstelle auf.

Durch den vom Wurm erzeugten Netzverkehr können auch nicht direkt verwundbare Systeme in Mitleidenschaft gezogen werden.

Einfallstor
UDP-Paket mit Quellport 4000 und zufälligem Zielport. Das Paket muß nicht direkt an das Opfer gerichtet sein. Angriffe über eine Broadcast-Adresse sind erfolgreich. Ein Angriff auf einen passiven Sensor, der den Verkehr lediglich analysiert (aber nicht notwendigerweise weiterleitet), ist ebenfalls möglich.

Auswirkung
Ein befallenes System verschickt in rascher Folge UDP-Pakete mit Quellport 4000 und zufälligem Zielport, an zufällige Adressen (ähnlich dem Slammer-Wurm). Außerdem werden zufällig ausgewählte Bereiche der Festplatte überschrieben.

Gefahrenpotential
hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Ein UDP-basierter Wurm, genannt "Witty" oder auch "Blackworm", verbreitet sich seit 2004-03-19 05:46 MEZ. Laut ISC SANS sind Microsoft-Windows-Systeme mit den ISS-Produkten BlackICE und RealSecure in den eingangs genannten Versionen anfällig. Der Wurm nutzt die von EEYE bekanntgegebene Schwachstelle für den Angriff aus.

Die verschickten UDP-Pakete haben in der überwältigenden Mehrheit als Quellport 4000, der Zielport ist zufällig gewählt (teilweise auch unter 1024), die Zieladresse ebenfalls. Die Paketgröße schwankt zwischen 769 und über 1250 Bytes. Alle Pakete enthalten die Zeichenkette "insert witty message here". Ein Teil der Pakete hat andere Quellports außer 4000, die ebenfalls zufällig erscheinen. Diese Pakete werden wahrscheinlich durch NAT/Masquerading erzeugt, da dabei typischerweise der Quellport verändert wird. Damit der Angriff durch den Wurm erfolgreich ist, muß der Quellport allerdings 4000 sein, d.h. die durch NAT veränderten Pakete stellen keine Bedrohung für RealSecure- bzw. BlackICE-Systeme dar.

Wie beim Slammer-Wurm kann der Verkehr zu einem Denial of Service-Angriff auf die Netzanbindung betroffener Systeme führen. Sowohl die Bandbreite an sich als auch die zufällige Auswahl der Zieladressen können eine Überlastung der Netzkomponenten verursachen.

Update: Zusätzlich überschreibt der Wurm zufällig ausgewählte Bereiche auf den Festplatten des Systems. Die Zerstörung betrifft auch Dateisystem-Metadaten. Mit der Zeit wird das System dadurch unbrauchbar und stürzt i.d.R. ab.

Die Anzahl der aktiven, infizierten Systeme im Internet scheint inzwischen rückläufig zu sein. Während gegen 2004-03-20 11:35 MEZ noch 7 Angriffspakete pro Sekunde und 10.000 Zieladressen beobachtet wurden, liegt der Wert nun bei 0,6. Die Gesamtzahl aller infizierten Systeme beläuft sich mittlerweile allerdings auf mehrere zehntausend.

Gegenmaßnahmen

Weitere Information zu diesem Thema

Revisionen dieser Meldung

(fw)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1189