Witty-verkkomato leviää aktiivisesti

Witty (BlackICE worm)-niminen verkkomato aloitti leviämisensä 20.3.2004 aamulla Suomen aikaa käyttäen hyväkseen Internet Security Systems:n (ISS) BlackICE-palomuuriohjelmistosta löytynyttä haavoittuvuutta, joka liittyy BlackICE-ohjelmiston PAM-komponentin tapaan käsitellä ICQ-verkkoliikennettä. Haavoittuvuudesta on saatavilla lisätietoa CERT-FI:n julkaisemasta varoituksesta:

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-19.htm

Witty-verkkomato leviää automaattisesti eikä se tarvitse kohdejärjestelmän käyttäjän aktiivisia toimia levitäkseen. Tartuntavaiheessa mato ei kirjoita mitään kohdejärjestelmän levyille vaan mato toimii täysin muistiopohjaisesti. Mato leviää UDP (User Datagram Protocol)-protokollan välityksellä satunnaisiin kohdeportteihin. Madon käyttämä lähdeportti on kuitenkin aina UDP/4000.

Saastuneesta kohdejärjestelmästä mato yrittää levitä satunnaisesti valitsemiinsa 20 000:een IP-osoitteeseen, jonka jälkeen se avaa kohdejärjestelmässä satunnaisen fyysisen levyaseman ja kirjoittaa levylle dataa. Tämä toiminto saattaa aiheuttaa useissa saastuneissa tietojärjestelmissä kiintolevyn sisältämien tietojen korruptoitumista ja tuhoutumista.

Varoituksen kohderyhmä

  • Windows-käyttöjärjestelmällä varustetut tietojärjestelmät, joissa käytetään haavoittuvaa versiota ISS:n BlackICE-ohjelmistosta

Ratkaisu- ja rajoitusmahdollisuudet

Jos epäilet, että tietojärjestelmässä on haavoittuva versio BlackICE-palomuuriohjelmistosta:

  • Poista tietojärjestelmä verkosta ennen sen käynnistämistä ja tarkista onko tietojärjestelmässä käytössä BlackICE-palomuuriohjelmiston haavoittuva versio

  • Ota haavoittuva BlackICE-palomuuriohjelmisto pois käytöstä

  • Jos tietojärjestelmässä on vaihtoehtoinen palomuuriohjelmisto, ota se käyttöön ja kytke tietojärjestelmä takaisin verkkoon

  • Päivitä haavoittuva tietojärjestelmä turvallisella BlackICE-ohjelmistoversiolla 3.6ccg, joka on ladattavissa osoitteesta: http://www.iss.net/download/

Jos epäilet, että tietojärjestelmässä on Witty-matotartunta:

  • Käynnistä tietojärjestelmä uudelleen madon poistamiseksi

  • Jos mahdollisuutta turvalliseen BlackICE-palomuurin päivittämiseen ei ole, käytä tarvittaessa esim. käyttöjärjestelmän omaa palomuuriohjelmistoa

Lisätietoa

http://www.f-secure.com/v-descs/witty.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.witty.worm.html

http://xforce.iss.net/xforce/alerts/id/167

http://www.lurhq.com/witty.html

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248