查看完整版本: Witty令企业措手不及 终端装修补程序不可行

Witty令企业措手不及 终端装修补程序不可行

计算机病毒分析师说，Witty蠕虫先挑具有已知安全漏洞的计算机下手，随即快速蔓延，中毒的公司大多来不及安装修补程序。

上周，描述相关安全漏洞的文字发布后，不到48小时，Witty虫便开始在网络上蔓延，成为目前为止利用安全漏洞作乱手脚最快的蠕虫，网络资料分析合作协会(CAIDA)与圣地亚哥加州大学联合发表的报告显示。

这项报告说：在防火墙软件弱点公诸于世的次日，计算机就遭蠕虫入侵，可见只靠最终端使用者安装修补程序以封死安全漏洞的保全模式不可行。

Witty利用网络安全系（InternetSecuritySystems，简称ISS）软件的安全弱点，这类软件产品包括RealSecure和BlackIce。尽管ISS先前表示，只有2%的用户遭Witty虫入侵，但这项报告指出，不到一小时之内，Witty已钻入多达12,000台计算机。

报告作者之一CAIDA高级安全研究员ColleenShannon说，如果其它蠕虫也能如此快速孳生，企业可能必须减少对传统亡羊补牢防毒方式的依赖，开始采取其它方法减轻外来的威胁。

她说：仅短短两天，时间不够，一大群人没办法把事做好。这必须靠提升最终用户的技术水平，时时更新修补程序。

报告也发现，迹象显示，这只蠕虫可能在受害的服务器中预先埋伏内应，方能加速攻击的速度。

Witty虫在周六一早开始扩散，约45分钟后，就传染网络上约12,000台服务器，凡是内含相关安全漏洞的服务器大多数都已中毒。10秒钟内，110部遭染指的主机浮出台面，令CAIDA相信那些服务器被利用来主动传播这只蠕虫，这种手法称为预先播种（preseeding）。

这只虫一定预先播种好的，Shannon说：从资料分析，别无其它可能。

Witty虫可以把65k长的资料写入随机选择的硬盘位置，耤以损坏硬盘，造成近半数系统因为中毒而在12小时之内当机。

相形之下，利用MicrosoftSQL安全弱点为害的Slammer蠕虫感染了70,000到100,000台计算机。CAIDA说，两者相比，显然遭Witty传染的计算机比率比较小。该蠕虫也攻击专为预防病毒威胁而设置的计算机。

报告说，这种演变的影响不容忽略。报告说：只有小小的技巧，居心不良的人就可能闯入数以千计的机器，利用它们为所欲为，却未在遭殃的主机上留下什么蛛丝马迹。

Witty病毒利用ISS产品漏洞 破坏性极强仅半小时短命

上周三英特网安全系统（ISS）公司软件和设备的安全缺陷刚一公布，周末便出现名为Witty的蠕虫病毒，通过寻找和利用该缺陷进行攻击，这可能是历史上最快的恶意攻击。Witty传播迅速，能在一小时内感染超过20000台机器。病毒还将重写受感染电脑中的数据，迅速摧毁系统。

英特网风暴中心（ Internet StormCenter）首席技术官JohannesUllrich称：“由于病毒最终将摧毁系统，他的消逝也非常迅速。病毒自己杀死了自己，平均寿命为半小时。”他估计大约有30000台电脑曾被病毒感染，并且“由于文件被破坏，大部分的系统都在被感染后的30分钟内毁坏。”根据中心资料，Witty于上周六清晨前已经感染了大约30000台电脑，不过截至周一，病毒的活动性已经很低了。中心将其威胁警告从黄色降到了绿色。

Witty病毒通过ISS的防火墙产品和Proventia网络设备的的安全漏洞突入系统。这些防火墙产品包括BlackICE和RealSecure。

网络安全公司eEye DigitalSecurity发现该安全缺陷以后，ISS立刻在公司网站上发布了升级包，并称公司已在10天前发现了这一缺陷。ISS估计Witty病毒仅能影响其用户的2%，因为公司提供维护服务的签约用户已经在病毒出现一周前进行了系统升级。

该病毒由其程序员在源代码中留下的讯息而得名：“在此处插入Witty消息”。

该蠕虫中包含着“insert witty message here”的信息，故命名为Witty蠕虫。Witty蠕虫自身并不以文件形式存在，仅是一段UDP数据，这种情形类似于CodeRed和SqlSlamer蠕虫，只要重启系统就可以清除该蠕虫，但重启后还可能被再次感染。

由于Witty蠕虫代码中使用的API地址和溢出跳转地址都是3.6.16版本的iss-pam1.dll中硬编码的地址，也就是说，该蠕虫仅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS产品，例如BlackICE 3.6 ccf，对其他版本的产品则可能会导程序崩溃。

Witty蠕虫感染系统之后，就会向随机生成的IP地址发送自身，并且以Raw Data方式写硬盘，破坏系统数据，危害比较严重，可能导致系统无法正常启动或工作。英特网风暴中心（ Internet StormCenter）首席技术官JohannesUllrich称：“由于病毒最终将摧毁系统，他的消逝也非常迅速。大部分的系统都在被感染后的30分钟内毁坏。”根据中心资料，Witty于上周六清晨前已经感染了大约30000台电脑，不过截至周一，病毒的活动性已经很低了。中心将其威胁警告从黄色降到了绿色。

受影响的软件及系统：

RealSecure Network 7.0, XPU 22.11 以及更低版本
RealSecure Server Sensor 7.0 XPU 22.11 以及更低版本
RealSecure Server Sensor 6.5 for Windows SR 3.10 以及更低版本
Proventia A Series XPU 22.11 以及更低版本
Proventia G Series XPU 22.11 以及更低版本
Proventia M Series XPU 1.9 以及更低版本
RealSecure Desktop 7.0 ebl 以及更低版本
RealSecure Desktop 3.6 ecf 以及更低版本
RealSecure Guard 3.6 ecf 以及更低版本
RealSecure Sentry 3.6 ecf 以及更低版本
BlackICE Agent for Server 3.6 ecf 以及更低版本
BlackICE PC Protection 3.6 ccf 以及更低版本
BlackICE Server Protection 3.6 ccf 以及更低版本

提醒：正在使用BlackICE个人防火墙以及RealSecure入侵检测系统的用户应当立刻升级到最新版本。

解决方法：

1、如果已经被蠕虫感染，可以首先卸载或者停用ISS产品，然后备份重要数据以防止系统重启后无法启动，重新启动系统以清除蠕虫。
2、升级ISS产品到最新版本。
3、在边界路由器或者防火墙上阻塞源端口为4000的udp数据包。由于目前ICQ客户端普遍使用TCP协议进行通信，这样阻塞并不会影响正常的ICQ使用者。

补丁下载：

目前ISS已经发布了下列各产品的补丁，请到[url]http://www.iss.net/download[/url]升级至相应版本：

RealSecure Network 7.0, XPU 22.12
RealSecure Server Sensor 7.0 XPU 22.12
Proventia A Series XPU 22.12
Proventia G Series XPU 22.12
Proventia M Series XPU 1.10
RealSecure Desktop 7.0 ebm
RealSecure Desktop 3.6 ecg
RealSecure Guard 3.6 ecg
RealSecure Sentry 3.6 ecg
BlackICE Agent for Server 3.6 ecg
RealSecure Server Sensor 6.5 for Windows SR 3.11