【警告】專找 BLACKICE破壞Witty 蠕蟲

[TAIWAN]

專找 BLACKICE破壞Witty 蠕蟲

在 EEYE 公開一個ISS產品的緩衝區溢出漏洞後，利用該漏洞，可以在執行ISS產品系統上執行任意代碼，並取得SYSTEM控制權。

正在使用BlackICE個人防火牆以及RealSecure入侵檢測系統的者應注意更新到最新版本。

ISS的RealSecure、BlackICE等產品的入侵檢測功能都使用『 iss-pam1.dll』，該動態延伸檔中包含了通訊協定分析、攻擊特徵等內容。

iss-pam1.dll在解析ICQ v5協定時沒有正確的處理，導致了緩衝區溢出。

這是RealSecure、BlackICE等產品對系統接收到的封包解析過程中出現問題，所以要起動該漏洞，系統上並不需要執行ICQ軟體。

該蠕蟲中包含著“insert witty message here”的片段，故命名為Witty。Witty蠕蟲本尊並不以檔案形式存在，僅是一段UDP封包，這種情形類似 CodeRed 和 SQL 蠕蟲，只要重新啟動系統就可以清除，但重新啟動後還可能被感染。

Witty蠕蟲代碼中使用的API地址和溢出跳轉地址都是3.6.16版本的iss-pam1.dll中編碼的地址，該蠕蟲僅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS產品，例如BlackICE 3.6 ccf，但對其他版本的產品則可能會導致程式當機。

Witty蠕蟲感染後，就會產生隨機IP地址並發送Witty蠕蟲本身，並以 Raw Data 方式寫入硬碟，破壞系統資料，並可能導致系統無法正常啟動或工作。

解決方法：

1、如果已經被蠕蟲感染，可先UNINSTALL或停用ISS產品，然後備份重要資料以防止系統重新啟動後無法開機，重新啟動系統就可以清除蠕蟲。

2、昇級ISS產品到最新版本。

3、在路由器或者防火牆上暫時停用端口4000 UDP。由於目前ICQ客戶端普遍使用TCP協議進行通信，如此停用並不會影響正常的ICQ使用者，但大陸地區使用QQ較多，可能需修改後再公開。


天網安全實驗室SKYNET版權聲明

SKYNET、天網、天之网、天網安全、天網安全實驗室、天網小組等是天網安全實驗室SKYNET及SKYNET關係企業體的註冊商標，未經天網安全實驗室SKYNET及關係企業體允許，不得任意使用。

本安全公告僅用來描述可能存在的安全問題，天網安全實驗室SKYNET不為此安全公告提供任何保証或承諾。由於傳播、利用此安全公告所提供的資訊內容而造成的任何直接或者間接的後果及損失，均由使用者本人負責，天網安全實驗室SKYNET關係企業體及安全公告作者不為此承擔任何責任。

天網安全實驗室SKYNET擁有對此安全公告的修改和解釋權。如欲轉載或傳播此安全公告，必須保証此安全公告的完整性，包括版權聲明等全部內容。未經天網安全實驗室SKYNET及關係企業體允許，不得任意修改或者增減此安全公告內容，並不得以任何方式將其使用於商業目的。