Witty蠕虫正在传播

发布日期：2004-03-22


受影响的软件及系统：
====================
RealSecure Network 7.0, XPU 22.11 以及更低版本
RealSecure Server Sensor 7.0 XPU 22.11 以及更低版本
RealSecure Server Sensor 6.5 for Windows SR 3.10 以及更低版本
Proventia A Series XPU 22.11 以及更低版本
Proventia G Series XPU 22.11 以及更低版本
Proventia M Series XPU 1.9 以及更低版本
RealSecure Desktop 7.0 ebl 以及更低版本
RealSecure Desktop 3.6 ecf 以及更低版本
RealSecure Guard 3.6 ecf 以及更低版本
RealSecure Sentry 3.6 ecf 以及更低版本
BlackICE Agent for Server 3.6 ecf 以及更低版本
BlackICE PC Protection 3.6 ccf 以及更低版本
BlackICE Server Protection 3.6 ccf 以及更低版本

综述：
======
EEYE和ISS都是国际著名的信息安全公司，总部位于美国。2004年3月18日，EEYE披露了一个ISS产品的缓冲区溢出漏洞，恰当的利用该漏洞，可以在运行这些产品的系统上执行任意代码，获取系统控制权。

2004年3月22日，NSFOCUS安全小组的陷阱网络捕获了一个针对该漏洞的蠕虫。这个蠕虫可感染安装了特定版本ISS产品的系统，对其他版本的产品，也可导致程序崩溃。一旦主机感染该蠕虫，就会大量发送数据，造成网络带宽被大量占用，蠕虫还会随机破坏文件系统，导致文件损坏和丢失，甚至造成系统无法正常启动。

正在使用BlackICE个人防火墙以及RealSecure入侵检测系统的用户应当立刻升级到最新版本。

分析：
======
ISS的RealSecure、BlackICE等产品的入侵检测功能都依赖于模块“iss-pam1.dll”，该文件中包含了协议分析、攻击特征描述等内容。ICQ是世界最著名的即时通信软件之一，其通信协议是公开的。iss-pam1.dll在解析ICQ v5协议的时候对某些字段没有很好的处理，导致了缓冲区溢出问题。因为这是RealSecure、BlackICE等产品对系统接收到的数据包解析过程中出现的问题，所以，要触发该漏洞系统上并不需要运行着ICQ。

该蠕虫中包含着“insert witty message here”的信息，故命名为Witty蠕虫。Witty蠕虫自身并不以文件形式存在，仅是一段UDP数据，这种情形类似于CodeRed和SqlSlamer蠕虫，只要重启系统就可以清除该蠕虫，但重启后还可能被再次感染。

由于Witty蠕虫代码中使用的API地址和溢出跳转地址都是3.6.16版本的iss-pam1.dll中硬编码的地址，也就是说，该蠕虫仅可能正常感染使用3.6.16版本的iss-pam1.dll的ISS产品，例如BlackICE 3.6 ccf，对其他版本的产品则可能会导程序崩溃。

Witty蠕虫感染系统之后，就会向随机生成的IP地址发送自身，并且以Raw Data方式写硬盘，破坏系统数据，危害比较严重，可能大致系统无法正常启动或工作。

解决方法：
==========
1、如果已经被蠕虫感染，可以首先卸载或者停用ISS产品，然后备份重要数据以防止系统重启后无法启动，重新启动系统以清除蠕虫。
2、升级ISS产品到最新版本。
2、在边界路由器或者防火墙上阻塞源端口为4000的udp数据包。由于目前ICQ客户端普遍使用TCP协议进行通信，这样阻塞并不会影响正常的ICQ使用者。

厂商状态：
==========
目前ISS已经发布了下列各产品的补丁，请到http://www.iss.net/download升级至相应版本：

RealSecure Network 7.0, XPU 22.12
RealSecure Server Sensor 7.0 XPU 22.12
Proventia A Series XPU 22.12
Proventia G Series XPU 22.12
Proventia M Series XPU 1.10
RealSecure Desktop 7.0 ebm
RealSecure Desktop 3.6 ecg
RealSecure Guard 3.6 ecg
RealSecure Sentry 3.6 ecg
BlackICE Agent for Server 3.6 ecg
RealSecure Server Sensor 6.5 for Windows SR 3.11

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技