Witty Wurm frisst ISS BlackICE/RealSecure
[http://www.symlink.ch/article.pl?sid=04/06/17/1546217&mode=thread]

Security | Veröffentlicht durch Ventilator am 2004-06-17 15:44:04
Aus der Lamer-Exterminator Abteilung

dino schreibt: "Flupp/bit ist per Zufall drüber gestolpert und hat mich gerade
drauf hingewiesen: Was lange erwartet wurde ist nun passiert: Ein Netzwurm
namens Witty der nicht nur sich verbreiten will oder Backdoors aufmacht,
sondern gezielt die Opfer langsam zugrunderichtet."

"Dieser Wurm fiel nicht gross auf, weil er klein ist (ganze 700 Bytes, dafuer
braucht man Assembler :-), dito auch zum es verstehen), sich an zufällige IP
Adressen verteilt (nicht ein Netz aufs mal stark belastet), und fehlerfrei
programmiert ist (eben kein HLL Bloat :-)).

Aber was er anrichtete ist nun nach Monaten sichtbar geworden: Er beisst sich
fest und killt die Opfer, gaaanz langsam und damit unauffällig, sie 64k
Diskblock fuer Diskblock auffressend, die er (ebenfalls per Zufall)
ueberschreibt, und zerkruemmelt somit auch gleich die Backups der letzen paar
Monate. 

Das ist das Neue, das man seit langem befürchtet hat, bzw sich gefragt hat,
warum die bösen Virenprogrammierer das nicht machen: Vernichten und gleich auch
aufs Backup abzielen. Und ja dieses Szenario ist seit über 5 Jahren bekannt,
aber bisher nie durchgeführt worden.

Auch noch bemerkenswert ist, das auschliesslich ISS BlackICE/RealSecure Geräte
attackiert werden (Rache?, ev Insider?) und das er alle 12000 Geräte der Sorte
erwischt haben soll, und zwar in nur 45 Minuten Ausbreitungszeit."

Anmerkung von Ventilator: Und ich habe mich noch gewundert, warum die Viren
bisher alle so lieb waren. Bisschen Kiste rebooten und so, bitte...
Andererseits erinnert mich die Beschreibung sehr stark an den LamerExterminator
oder auch Saddam-Virus auf dem Amiga.

######

Noch etwas Addendum
[http://www.symlink.ch/comments.pl?sid=04/06/17/1546217&cid=1]

(Score:2, Interessant)
von dino (neil@franklin.ch.remove) am Thu. 17. June 04, 16:58 MEW
(User #32 Info) http://neil.franklin.ch/

Ein Link zu einer detailierten Beschreibung des Wurms, inklusive
disassembliertem und kommentiertem Code.

Auch frappant die schnelle Entstehung in nur 1 Tag: Scheints wird die "Fehler
herausgeben ist akzeptabel, man kann sie ja patchen lassen" Einstellung
endgueltig verschwinden muessen. 100% garantiert Bufferoverflow-lose Sprachen
fuer Daemons werden so hoffentlich endlich zur Pflicht. und zwar schnell.

> Anmerkung von Ventilator: Und ich habe mich noch gewundert, warum die Viren
> bisher alle so lieb waren. Bisschen Kiste rebooten und so, bitte...

Jo, das hat mich auch immer gewundert. Wohl die Opferpopulation nicht killen
wollen, oder schlicht Phantasiemangel.

> LamerExterminator oder auch Saddam-Virus auf dem Amiga

Und sowas duerfte der heutige PC Wirenschreiber nie gesehen haben, und so die
Idee nie bekommen haben. Jetzt hat er sie. Das wird einen heissen Herbst geben.
Wir leben in interessanten Zeiten.