Descripción
Un nuevo gusano ha sido descubierto, explotando la vulnerabilidad del
modulo de la aplicación BlackICE ISS/PAM. El gusano se distribuye a través
de tramas UDP de un tamaño aproximado de un 1025 bytes, y teniendo como
puerto fijo para propagarse 4000 y la característica de atacar puertos
al azar.
Únicamente 470 bytes del código del gusano son los que operaran el modo de
funcionamiento del gusano. El restante son instruciones para que el gusano
trabaje directamente sobre la memoria, donde el código del gusano causara
los desbordamientos de pila. El modulo ISS PAM inspeccionará el paquete
sin importar si existe en el equipo un servicio escuchando en el puerto
destino. Si el paquete es inspeccionado por una versión vulnerable de
BlackICE o RealSecure, el código del gusano sera ejecutado.
Este gusano ha demostrado en las pocas horas de su propagación en varios
sitios ser altamente malicioso, lentamente destruyendo los sistemas que
infecta. Debido a su actividad, en algun punto este gusano dejara de
operar, desafortunadamente para los usuarios llevandose consigo a los
sistemas infectados através de la ejecución dentro de los sistemas
infectados instruciones como "format C:" o algún comando destructivo con
similares características, el gusano corrompe de forma lenta los sistemas
de archivos mientras continua se ejecución.
Las vesiones de BlackICE 3.5 y posteriores no son afectadas por el gusano
o por la vulnerabilidad. El gusano no afecta a la última versión del
BlackICE 3.6ccg.
Se ha detectado que el código del gusano es completamente
dependiente de la versión de la librería iss-pam1.dll 3.6.16, por lo que
los productos de ISS usando tal versión de la librería DLL se verán
afectadas.
La dependencia de la versión de la libreria DLL, es importante en la forma
de como el gusano obtiene las direcciones para las llamadas al la Interfaz
API de Windows.
Cuando el DLL es recompilado entre las revisiones enviadas, estas
sufriran cambios. Confiara en las funciones extraidas del archivo de
iss-pam1.dll que está en una dirección específica. Cuando el DLL es
recompilado entre las revisiones enviadas, estas direcciones
estaran sujetas a experimentar un cambio. Un cambio en las
compensaciones hará que el gusano llame a las funciones incorrectas
o ejecute código inválido. Los sistemas vulnerables a esta vulnerabilidad
pero que no ejecuten la versión específica del DLL en el cual el gusano
basa su modo de operación experimentarán caidas del software BlackICE o de
RealSecure.
La funcionalidad del gusano es la siguiente:
1) Genera direciones IP Aleatorias
2) Envia el código malicioso del gusano
3) Repite los pasos 1-2 20,000 veces
4) Abre una dirección aleatoria PHYSICALDRIVE del 0-7, el cual le permite acceso a los datos crudos del disco duro.
5) Busca por un punto aleatorio en el Disco duro.
6) Escribe 65 K de datos que van desde el DLL vulnerable al disco.
7) Cierra el disco
8) Inicia el proceso desde el paso 1
Snort Signature
La siguiente firma detectará tráfico del Gusano, de acuerdo con Internet
Strorm Center.
alert udp any 4000 -> any any (msg:"ISS PAM/Witty Worm Shellcode";
content:"|65 74 51 68 73 6f 63 6b 54 53|"; depth:246;
classtype:misc-attack; reference:www.lurhq.com/witty.html; sid:1000078;
rev:1;)
|
Aviso legal | Criditos
