Background Print only logo
Viestintäviraston etusivulle
Etusivu | | | | | | | |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

 Etusivu > Varoitukset > 2004 > CERT-FI varoitus 20/2004

CERT-FI varoitus 20/2004

20.3.2004

Witty-verkkomato leviää aktiivisesti

Witty (BlackICE worm)-niminen verkkomato aloitti leviämisensä 20.3.2004 aamulla Suomen aikaa käyttäen hyväkseen Internet Security Systems:n (ISS) BlackICE-palomuuriohjelmistosta löytynyttä haavoittuvuutta, joka liittyy BlackICE-ohjelmiston PAM-komponentin tapaan käsitellä ICQ-verkkoliikennettä. Haavoittuvuudesta on saatavilla lisätietoa CERT-FI:n julkaisemasta varoituksesta:

http://www.ficora.fi/suomi/tietoturva/varoitukset/varoitus-2004-19.htm

Witty-verkkomato leviää automaattisesti eikä se tarvitse kohdejärjestelmän käyttäjän aktiivisia toimia levitäkseen. Tartuntavaiheessa mato ei kirjoita mitään kohdejärjestelmän levyille vaan mato toimii täysin muistiopohjaisesti. Mato leviää UDP (User Datagram Protocol)-protokollan välityksellä satunnaisiin kohdeportteihin. Madon käyttämä lähdeportti on kuitenkin aina UDP/4000.

Saastuneesta kohdejärjestelmästä mato yrittää levitä satunnaisesti valitsemiinsa 20 000:een IP-osoitteeseen, jonka jälkeen se avaa kohdejärjestelmässä satunnaisen fyysisen levyaseman ja kirjoittaa levylle dataa. Tämä toiminto saattaa aiheuttaa useissa saastuneissa tietojärjestelmissä kiintolevyn sisältämien tietojen korruptoitumista ja tuhoutumista.

VAROITUKSEN KOHDERYHMÄ:

  • Windows-käyttöjärjestelmällä varustetut tietojärjestelmät, joissa käytetään haavoittuvaa versiota ISS:n BlackICE-ohjelmistosta

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

Jos epäilet, että tietojärjestelmässä on haavoittuva versio BlackICE-palomuuriohjelmistosta:

  • Poista tietojärjestelmä verkosta ennen sen käynnistämistä ja tarkista onko tietojärjestelmässä käytössä BlackICE-palomuuriohjelmiston haavoittuva versio

  • Ota haavoittuva BlackICE-palomuuriohjelmisto pois käytöstä

  • Jos tietojärjestelmässä on vaihtoehtoinen palomuuriohjelmisto, ota se käyttöön ja kytke tietojärjestelmä takaisin verkkoon

  • Päivitä haavoittuva tietojärjestelmä turvallisella BlackICE-ohjelmistoversiolla 3.6ccg, joka on ladattavissa osoitteesta: http://www.iss.net/download/

Jos epäilet, että tietojärjestelmässä on Witty-matotartunta:

  • Käynnistä tietojärjestelmä uudelleen madon poistamiseksi

  • Jos mahdollisuutta turvalliseen BlackICE-palomuurin päivittämiseen ei ole, käytä tarvittaessa esim. käyttöjärjestelmän omaa palomuuriohjelmistoa

LISÄTIETOA:

http://www.f-secure.com/v-descs/witty.shtml

http://securityresponse.symantec.com/avcenter/venc/data/w32.witty.worm.html

http://xforce.iss.net/xforce/alerts/id/167

http://www.lurhq.com/witty.html

PÄIVITYSHISTORIA:

20.03.2004: Ensimmäinen versio julkaistu
22.03.2004: Toinen versio julkaistu: Lisätty tietoa madon tuhoavista toimista sekä turvallisesta BlackICE-ohjelmistoversiosta
 Kommentoi 
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio