Wirus atakuje bazę wojskową?

Wirus Witty był wymierzony przeciwko amerykańskiej bazie wojskowej i został wypuszczony z Europy - do takich wniosków doszli badacze po żmudnej analizie sposobu działania wirusa.

Witty pojawił się w sieci w marcu 2004 roku i pod wieloma względami był wirusem unikalnym. W ciągu zaledwie 75 minut zainfekował ponad 12 tys. komputerów. Również nietypowa była metoda infekcji - wirus wykorzystywał bowiem dziurę w oprogramowaniu sondy IDS RealSecure firmy ISS, a konkretnie w module dekodowania protokołu ICQ. Każdy komputer na którym był zainstalowany dziurawy RealSecure i który otrzymał udający ICQ pakiet na port 4000 wykonywał kod wirusa i ulegał infekcji. Co ciekawe, dziura w RealSecure ujawniona została zaledwie 48 godzin przed pojawieniem się Witty'ego.

Nie jest to jedyna tajemnicza cecha tego wirusa. Autor wirusa wykazał się nie tylko doskonałą znajomością assemblera, ale także w stanie 48 godzin był w stanie napisać exploit wykorzystujacy nową dziurę. I na dodatek zmieścić to wszystko w pojedynczym pakiecie UDP, który nie może przekraczać 512 bajtów.

Trzech amerykańskich badaczy przeanalizowało algorytm działania wirusa, który do wybierania adresów IP ofiar posługiwał się algorytmem generującym liczby pseudolosowe. Autorzy porównując teoretyczne wyniki funkcji generującej adresy z danymi zebranymi przez ośrodki antywirusowe na całym świecie doszli do równie zagadkowych wniosków.

Otóż okazało się że Witty został wypuszczony w Europie, w sieci przyznanej przez RIPE "jednemu z dużych operatorów DSL". Tylko taką informację przekazał ComputerWorld Online jeden z autorów analizy, zasłaniając się dobrem nadal prowadzonego przez policję śledztwa. Komputer nazwany "Pacjentem numer zero" jako jedyny na świecie rozsyłał wirusa w sposób całkowicie odmienny od innych ofiar - co więcej jego adres IP nie pasował do innych adresów generowanych przez Witty'ego.

Autorzy znaleźli jeszcze jeden ciekawy zbiór zainfekowanych adresów, należący do... amerykańskiej bazy wojskowej. Adresy te zostały zainfekowane również w sposób nie pasujacy do typowej ofiary wirusa, który trafił tam zaledwie w ciągu pierwszych 10 sekund od wpuszczenia Witty'ego do sieci. Baza prawdopodobnie była na stworzonej przez autora wirusa liście ofiar, w które został wycelowany Witty.

Raport o wirusie Witty: http://www.cc.gatech.edu/~akumar/witty.html


Zobacz również