Witty est un virus qui se propage via le réseau en
ciblant les utilisateurs de firewalls BlackICE 3.6 non à
jour dans leurs correcifs. Il se présente sous la forme
d'un paquet de données UDP de 768 à 1.280 octets
à destination d'un port aléatoire : lorsque
ce paquet atteint une machine vulnérable, Witty l'infecte
puis émet une grande quantité de paquets UDP
piégés pour tenter d'infecter d'autres machines.
Le virus endommage périodiquement un secteur du disque
dur, ce qui peut finir par rendre le système inutilisable.
Les non utilisateurs de BlackICE ou les utilisateurs d'une
version non vulnérable ne peuvent pas être infectés
et ne sont donc pas concernés par ce virus.
PREVENTION :
En cas de doute, les utilisateurs de produits BlackICE
doivent mettre à jour leur logiciel via le site
d'ISS afin de corriger la faille exploitée
par le virus pour s'exécuter automatiquement.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus via le réseau. Le
ver étant présent uniquement en mémoire,
il suffit de redémarrer la machine infectée
pour éliminer le virus.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows 95
Windows 98
Windows Me
Windows NT
Windows 2000
Windows XP
Windows 2003
ALIAS :
Witty (F-Secure)
W32/Witty.worm (McAfee)
W32.Witty.Worm (Symantec)
WORM_WITTY.A (Trend Micro)
Blackworm
Black Ice
TAILLE :
660 à 1.184 octets
DECOUVERTE :
20/03/2004
DESCRIPTION DETAILLEE :
Witty est un virus qui se propage directement par le réseau,
et qui ne se rencontre donc pas par email. Il utilise la
vulnérabilité ICQ Parsing des produits ISS
pour infecter les ordinateurs vulnérables connectés
à Internet (BlackICE version 3.6 inférieure
à 3.6 ccg, la dernière version disponible) sans
intervention de l'utilisateur au moyen d'un paquet UDP piégé.
Les non utilisateurs de produits BlackICE ou les utilisateurs
d'une version non vulnérable du produit ne peuvent
pas être infectés par ce virus.
Witty ne crée aucun fichier sur la machine contaminée.
Le ver étant présent uniquement en mémoire,
il suffit de redémarrer la machine infectée
pour éliminer le virus, mais l'application préventive
du correctif est impérative pour les utilisateurs de
produits BlackICE afin d'empêcher toute infection et
donc éviter toute corruption de fichiers due à
la charge destructive du virus. Une fois l'ordinateur infecté,
le virus émet 20.000 paquets piégés se
présentant comme des paquets de données ICQ
par le port UDP 4000 à destination d'adresses IP aléatoires
pour tenter de contaminer de nouvelles machines vulnérables,
endommage un secteur aléatoire du disque dur en y écrivant
64 Ko de la DLL vulnérable, puis recommence un nouveau
cycle en émettant 20.000 paquets piégés,
ce qui peut finir par rendre le système inutilisable
(les fichiers endommagés doivent être restaurés
à partir d'une sauvegarde).
Compte tenu de ses caractéristiques, ce ver ne devrait
pas affecter un grand nombre d'ordinateurs, ni perturber le
trafic réseau de manière significative.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement
gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|