» »

Analiza napada črva Witty

Analiza napada črva Witty

New Scientist - 19. marca 2004 je začel svoj pohod internetni črv z imenom Witty. V kratkem času (dobri uri) mu je uspelo okužiti kakih 12 tisoč računalnikov, ki so bili sicer zaščiteni s komercialnim softverskim požarnim zidom, ki pa je žal imel napako, ki jo je Witty izkoriščal za svoje širjenje.

Pri vsakem takem izbruhu je v interesu Denarja, da se najde pravega povzročitelja. Bolj kot število okuženih računalnikov je, kot poroča New Scientist, presenetilo dejstvo, da je dvema raziskovalcema z ameriških univerz uspelo najti računalnik, s katerega je Witty začel svoj pohod. Omenjena raziskovalca sta z metodo telekopske analize omrežnega prometa ter z "seciranjem" kode črva ugotovila način njegovega širjenja ter tako ugotovila, da je bil prvi okužen računalnik enega ISPja v Evropi.

Nad metodo so se menda že navdušili pravniki in najbrž ni več daleč dan, ko bodo kakega ne preveč previdnega virusčika oskubili do zadnje pare.

Še zanimivi povezavi:
The UCSD Network Telescope - CAIDA
CAIDA Resource Catalog

23 komentarjev

Sl4v3 ::

muahaha, ni več daleč dan, ko bodo namenski programi lovili avtorje virusov.:P
Umri mlad, da bos lep okostnjak!

RejZoR ::

Na prvem mestu pa je spet bebavost uporabnikov.
Witty se je zamaskiral kot Windows Update ki si ga fasal na mail.
Sporočilo je po designu izgledalo kot www.microsoft.com stran,v priponki pa je bil "popravek" za varnostno luknjo.
Ko si ga pognal je prikazal kot da posodablja datoteke sistema Windows,v resnici pa je iskal datoteke eml/xml/htm/htm/txt itd... ter iz njih pobiral email naslove za nadaljno razpošiljanje.
Stvar sem imel priložnost stestirat v sandbox emulatorju in izgleda sila zanimivo.

No kakorkoli že,večina krivde gre naivnim uporabnikom.
Kot prvo,Microsoft NIKOLI ne pošilja updatov preko maila(ne a res?),sploh pa ne na mail, ki ga nisi nikoli posredoval MSju...
Kot drugo, folk itaq klika vse kar dobi na mail,tako da se prve stvari sploh niso zamislili. No ostalo je mali parazitek opravil sam.
In pol se vsi strašno čudijo zakaj je tko kot je. No jezst se ne,ker vem kakšno je stanje na temu področju.
Angry Sheep Blog @ www.rejzor.com

Zgodovina sprememb…

  • spremenil: RejZoR ()

M.B. ::

Virus bi se širil tudi, če bi se ob kliku na priponko čez celo stran prikazalo:

Če odprete priponko, vam bom okužil računalnik.

Lep pozdrav, črv Witty

Ali pa: If you click this you are an idiot.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

RejZoR ::

Sej,to je tk kot bi majhnemu otroku reku,da ne sme pritisnit nekega knofa. Itaq da ga bo iz radovednosti takoj stisnil. AMpak to kar pa folk dela s priponkami pa se mi zdi že skrajno blesavo.
Jej,mogoče pa bo v .PIF fajlu kakšen dober video štos. Uuuu lej,en mi je screensaver poslal:\
Curiosity killed the cat...
Angry Sheep Blog @ www.rejzor.com

borchi ::

Curiosity killed the cat...

no, it did not! the truck did!
l'jga

[:Notebook:] ::

Ah, saj uporabniki računalnikov sploh ne razumejo delovanja. Delodajalcu je samo važno, da zaposleni zna napisat kakšen word al pa excell dokument pa kakšno e-pošto poslat, kako naj ta uporabnik sploh ve kaj o priponkah in Windows Update-u in raznih Spy, Ad in ostalih ware-ih.

Sodelovec je pravkar kliknil YES na spletnem oknu, ki ponuja hitrejše delovanje, al pa obljublja odstranjevanje virusov in podobno. Kaj pa on ve, kaj se lahko zgodi.
[:DELL / HP / APPLE:]

ginekolog ::

hud črvek no. Na srečo pa je iskal dokaj redke tarče: IIS in blackice... kaj bi šele bilo, če bi bila tača vsi XPji SP2 z windows firewall... omg :)
Divers do it deeper.

dejans ::

Teti pisci virusov/črvov/crackov... se mi zdijo taki bedaki, res ne vem zakaj smo ljudje tak destruktivno usmerjeni nasploh...:\

Namesto da bi svoje znanje in sposobnosti vlagali v kake koristne programe ali open source skupnost... sej si lahka tudi tuki ustvarijo slavo (če je že to njihov namen) in nardijo npr. nek super ultimativni browser al pač neki... oziroma če že hočejo zaslužit, nek komercijaln program(mogoče res ne tolko, ampak vseeno...):|

no ja zgleda da je "dark side" vseeno bolj privlačna :D
[?]

junior ::

M.B. svaka čast! :D

Zgodovina sprememb…

  • spremenilo: junior ()

bzp ::

find them, burn them

HyperKiller ::

Težko si človek predstavlja, kako lahko nekdo, ki je tako brihten da se lahko s svojim programčkom izmuzne skozi najmanjšo luknjico, obenem tako "kratkoviden" da to počne.
Všeč so mi pa virusi, ki se širijo, izkoriščajo varnostne luknje , ampak, ne škodujejo uporabniku (sicer je res velko takih, ampak vseeno) . Tudi takšno hekanje podpiram.
Ter glede neveščosti povprečnega uporabnika: Pomojem ima računalnik mnogo preveč zmožnosti in funkci, da bi lahko vsak zastopil zadeve. Za takšne "tajnice"(ne posplošujem) bi rabili takšne računalnike kot so bankomati. En namen, ena funkcija. Fool-proof.
Baje obstajajo ljudje, ki niso vsek dan 8 ur za računalnikom :).
Pri Microsoftu uspešno izrezujejo varnostne luknje.

Smeagol ::

Ni glih nujno, da virus napises, ker bi bil destruktivno usmerjen.

Pomoje je glavni razlog, da pokazes da znas, da zmores. Ceprav tile s priponkami res niso ravno kaksna huda umetnost, so pa vsekakor ucinkoviti, ce upostevas povprecnega uporabnika. Ljudje klicknejo nanje, cetudi so prej slisali, da je virus. Samo firbec jih matra kaj se bo zgodil.

RejZoR ::

Pa dobr,nej klikajo v kontroliranem okolju (Sandbox,itaq 3/4 folka sploh ne ve kaj je to),ne pa da pol jokajo zakaj ne dela:\
Zakaj recimo folk ne toči vode v avte kjer je bencin? Ker vejo da bo pol zaribal. Zakaj zaboga se ne morejo pol zapomnit par osnovnih pravil glede priponk?
Angry Sheep Blog @ www.rejzor.com

Roadkill ::

12k kompjutrov v eni uri? Wohaa.
Men se zdi fascinantno. :)
Ü

AndrejS ::

Mislim da je bil SQL slammer hitrejši.

Tear_DR0P ::

jst pa pogrešam stare viruse tipa razor in chernobill in michelangelo in še in še. Ti so te vsaj hitro naučil razmišljat kaj počneš. Enkrat je udaru, naslednjič podobnega virusa nisi dobil.

Poleg tega mi pisci vrusov kot taki niso odvratni. Odvratno mi je to da jih naprtijo samo na določeno skupino uporabnikov.
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

MrStein ::

No kakorkoli že,večina krivde gre naivnim uporabnikom.


Zamisli, da avti nimajo airbag-ov. ABS-a. Pasov. Odbijačev. Kletk. Itd.

Bum !

Prizvajalec : Ah ti naivni vozniki. Zakaj ni zmanjšal hitrost ? (na varnih 23 km/h). Zakaj ni instaliral "AirBag Add-on" ? Zakaj se vozi, ko je "rush hour" ?
A ne ve, da več kot 130 kg potnikov ne gre v avto ? Pa čeprav ma 4 sedeže.
Ukradli so mu avto ? Zakaj ni kupil "Lock'n'block" "programa" ?
Ne, ne, mi nismo dolžni nič ključavnic in blokad vgraditi. Mi delamo avte. In vsi jih kupujejo, torej z njimi ni nič narobe.

Motor crknil, voznik dobil pljučnico ?
Kaj ne ve , da ta model ne pelje po dežju ?


Itd, itd... Ja , uporabniki so krivi.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

jsmith ::

Witty se ni širil po elektronski pošti temveč preko napake v požarnem zidu BlackIce oziroma RealSecure. Računalnik se je okužil tudi če je bil na njem nameščen protivirusni program z najnovejšimi podatki.

Napako v požarnem zidu so odpravili teden dni pred pojavom črva in postopek izkoriščanja napake ni bil še nikjer objavljen.

|Webko| ::

Microsoft NIKOLI ne pošilja updatov preko maila

heh, zakaj pa pol jest mesečno dobivam update na mail ? :)
Sicer res da sem se na zadevo prijavil, pa vseeno, stvar dejansko obstaja.

LP
Delphi rules!

DCER ::

Tudi jaz jih dobivam na mail (ker sem se prijavil), ampak ms ne posilja pripetih popravkov, le informira te da je popraveh izsel in link do win update.

C_maniak ::

ampak tega povprečen uporabnik pač ne ve. in tudi če se ne spomni, da ni dal maila in vidi mail od ms-ja s popravki, ga bo odprl. verjetno sploh ne ve, da bi rabil dat mail, zato da ga dobi.

Zgodovina sprememb…

  • spremenil: C_maniak ()

jype ::

Z ustreznim zajemanjem entropije lahko tak crv zelo efektivno onemogoci take vrste analizo. A pisci crvov na sreco niso dovolj inteligentni (ali pa se jim preprosto ne da), da bi napisali kaj takega.

Lani je na bugtraq priletel opis supercrva, ki napade vse (no, vecino, takih, ki ne poznajo IP ne) OSe hkrati in ko se enkrat razsiri, ne neha. Med sirjenjem tudi evoluira.

Me zanima, kdo bo prvi implementiral to rec.

Gundolf ::

Ko bodo gostiteljski računalniki dovolj zmogljivi, da bo črv lahko evoluiral na njih in to neopazo. Takrat bo pa lahko Shit.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Politični kompas (strani: 1 2 )

Oddelek: Loža
5910296 (7874) D3m
»

Adobe zagnal kampanjo za Flash (strani: 1 2 )

Oddelek: Novice / Apple iPhone/iPad/iPod
5418888 (16848) sirotka
»

Analiza napada črva Witty

Oddelek: Novice / Znanost in tehnologija
234775 (3692) Gundolf
»

Pravkar sem postal brezposeln

Oddelek: Problemi človeštva
272181 (1614) Brane2
»

Pozor, Witty na delu

Oddelek: Novice / Diski
62175 (2175) Izak

Več podobnih tem