Witty: gyorsan terjedő, pusztító féreg

Microsoft, Windows

Mivel sokunk adminisztrál windowsos gépeket is...

Egy új, nagyon gyorsan terjedő féreg bukkant fel tegnap az Interneten, és több tízezer számítógépet fertőzőtt meg működésének első néhány órájában. A féreg a Witty névre hallgat, és az Internet Security Systems cég által gyártott tűzfal/VPN szoftverek (BlackIce, Proventia és RealSecure) gyengeségét használja ki. A féreg rendkívül veszélyes, mert ellentétben a korábbi férgekkel, ez nem csak kellemetlenséget okoz, hanem pusztítást is végez.A féreg azokon a gépeken, amelyeken a fent említett tűzfal szoftverek futnak, random felülírja a merevlemez boot és adatterületét, átmenetileg lehetetlenné téve a bootolást. A jelentések szerint a féreg akkora károkat okoz, hogy nem elegendő csak a boot szektort visszaállítani, mert a lemez többi része is sérül, így az adatvesztés szinte teljesen biztos.

A hibát az eEye Digital Security (számos linuxos hiba felfedezője) névre hallgató számítógépes biztonsággal foglalkozó cég fedezte fel, és jelentette a gyártónak még március 8-án. A cég másnap ki is adta a hibajavítást, amelyet a jelek szerint nem sokan telepítettek, mert minimum 50.000 fertőzött számítógépről érkezett eddig jelentés.

Aki ilyen tűzfalat futtat, és még nem frissítette, az azonnal tegye meg!

A The Washington Post cikke itt.

( Friczy v | 2004. 03. 21., v – 15:49 )

Csak annyit módosítanék, hogy a Realsecure nem tűzfal, hanem IDS (intrusion detection system)

( netchan | 2004. 03. 21., v – 16:25 )

ISS most legelabb tudja, milyen a f*sz masik vegen lenni. ( Erre [httpd.apache.org] gondolom meg emlekeztek) Kar, hogy a juzerek isszak meg a levet megint :(

( global77 | 2004. 03. 21., v – 19:34 )

Személy szerint pont 19. -én támadt kedvem lefrissíteni a blackice szerver protection-t, ami szerintem még ennek ellenére is az egyik legkomplexebb "ablak" védelem a beépített checksum-os application protection által. A legújabb elérhető frissítés 19.-ei. Tehát sikeresen át lehetett vészelni a 20.-ai (szombati) terjedést.

( nevergone v | 2004. 03. 21., v – 21:53 )

> Witty: gyorsan terjedő, pusztító féreg

Nos, hulljon a férgese...! :)

Persze, ebben maradéktalanul igazad van, de mikor nekem kell win alá "írkálnom", akkor egyrészt van több biztonsági mentés -> evidens, hogy nem ugyanazon a partíción vannak, sőt már cd-rw -t is fillérekért lehet venni, arra pedig mindig fel lehet írni. Máris van adatmentés.

Ezen felül én még azt is szoktam, hogy amikor végeztem, (s)ftp -vel feltöltöm egy Linuxos gépre a munkát.

Esetleg érdemes lehet még megismerkedni néhány verziókezelő rendszerrel [www.hup.hu].

Kérem, az adatbiztonság itt (is) kezdődik... na meg persze tűzfalak, vírusírtók... de ez már egy másik történet...

( ricsip v | 2004. 03. 22., h – 22:17 )

Üdvözlök mindenkit!

Eléggé elítélhető módon én spec. winfos user vagyok. A blackice-t is használom már jóideje. Nem biztos, h. ide illik, de a kérdésem az lenne, h. linuxos/unixos tűzfalak is lefogják annyira a gépet, mint ez a blackice nekem? Konkrétan arra gondolok, h. w2k alatt egy 2000+ os gépen ha a 100-as hálón van forgalom 7-8-9 mb/sec, akkor a proc. terhelése bizony 40-50%-ra felugrik, és az már észrevehető. Gondolom ez azért van, mert a blackice nem csak a tiltott portokat blokkolja, hanem a forgalmat is aktívan elemzi. De pl. 7-800 mb letöltésénél ennek nincs sztem sok értelme.

Linuxos tűzfalakban meg van oldva, h. csak a kapcsolat felépítését ellenőrzik alaposan, a meginduló adatfolyamot már nem kell átnyálazni?

Sorry, ha lámer volt a kérdés, de hát így fejlődik az ember :D

( Bumika | 2004. 04. 09., p – 22:24 )

Sziasztok!

Apró kiegészítéseket szeretnék hozzátenni az eddigi hozzászólásokhoz.

1. A BlackICE, Proventia és RealSecure nevek nem egy-egy terméket jelentenek. A BlackICE a NetworkICE termékcsaládja volt 2001 áprilisáig, amikor is az Internet Security Systems (ISS) felvásárolta a céget. A termékekben lévő IDS technológiát integrálta saját alkalmazásaiba, és a hiányzó termékeket átvette, ezáltal kibővítve saját, RealSecure névre keresztelt IDS termékcsaládját.

A Proventia az ISS appliance termékcsaládja, melynek tagjai IDS/IPS és/vagy Antivírus, Tűzfal, VPN, Spam-szűrő, Tartalomszűrő funkciókat elégítenek ki.

2. Az otthoni felhasználóknak szánt RealSecure PC Protection (egykor BlackICE Defender) elsősorban IDS termék, amelyet kombináltak egy minimális extrával ellátott, csomagszűrő tűzfal komponenssel.

3. Mivel IDS programról van szó, szerepét nem láthatja el úgy, hogy csak a TCP kapcsolatok kialakításakor "figyel". A támadási minták nem a SYN csomaggal fognak érkezni. Szerintem 7-8-9 MB/sec-es forgalom mellett a 40-50%-os CPU kihasználtság egy IDS-től elég jó teljesítményt jelent. Mondanom se kell, hogy az itthoni 7 KB/sec mellett meg sem érzem a "BlackICE" jelenlétét.

4. 19-én én is jártam az ISS honlapján, és láttam a frissítéseket. 20-án tölthettem volna le a gépemre az új verziót, viszont egy "fontosabb" dolog miatt ezt nem tettem meg azonnal. Meséljem el, mi történt?

5. Új figura vagyok ezen a fórumon. Bevallom, nem ismerem az "Apache vs. ISS" sztorit. Tiszteletteljesen megkérek valakit, írja meg, mi rossz fát tett a tűzre az ISS!

Üdv: Bumika