Witty стал первым червем, нацеленным на программные продукты, собственно обеспечивающие информационную безопасность
Уязвимые места имели только 12 тыс. машин из всего огромного мирового компьютерного парка, и Witty заразил их всех — в самых разных уголках планеты — всего за 45 минут |
Если оценивать ситуацию по отзывам прессы, червь Witty не наделал большого шума. Blaster, SQL Slammer, Nimda и даже Sasser породили гораздо больше откликов. Червь Witty заразил всего лишь 12 тыс. машин, причем домашних пользователей среди их владельцев практически не было. Создается впечатление, что об этом и упоминать не стоит. Однако появление червя Witty имеет очень большое значение. Он относится к классу наиболее вредоносных программ и может служить предвестником появления новых подобных вирусов. Поэтому профессионалам в области ИТ необходимо хорошо понимать принципы устройства Witty и четко представлять себе, что он делает. Witty стал первым червем, создатели которого избрали своей целью программные продукты, собственно обеспечивающие информационную безопасность. В данном случае это были программы BlackICE и RealSecure компании Internet Security System (ISS). Вирус разрушал информацию только на тех компьютерах, на которых стояли определенные версии данных программных продуктов.
Анализ действий данного червя позволяет сделать следующие выводы.
- Witty оказался невероятно успешен. Уязвимые места имели только 12 тыс. машин из всего огромного мирового компьютерного парка, и Witty заразил их всех - в самых разных уголках планеты - всего за 45 минут. Это первый червь, сумевший быстро разрушить небольшую популяцию уязвимых систем. Ранее запускавшиеся черви, также ориентированные на небольшое подмножество (например, Scalper или Slapper), не идут с ним ни в какое сравнение по быстроте распространения.
- Witty был написан очень быстро. Компания Eeye Digital Security обнаружила брешь в продуктах ISS BlackICE/RealSecure 8 марта, после чего 9 марта разработчики ISS выпустили обновленные версии. Краткое описание уязвимых мест было опубликовано 18 марта. А уже к вечеру 19 марта, спустя всего 36 часов после публикации eEy, в мире появился червь Witty.
- Witty был написан очень хорошо. Объем кода составил всего 700 байт. Для самопроизвольного распространения использовался генератор случайных чисел. Поэтому червь оказался лишен большей части недостатков, присущих его предшественникам. Распространение осуществлялось путем обращения к случайным IP-адресам и случайным портам. Это упростило прохождение через межсетевые экраны. И наконец - что действительно имело очень большое значение - червь был написан без ошибок. Возникает мысль, что перед "промышленным" запуском программа подвергалась тщательному тестированию.
- Запуск Witty производился не вслепую. Предварительно был подготовлен плацдарм из 100 зараженных машин. Подобные решения обсуждались и ранее, но Witty стал первым червем, который использовал соответствующую технологию в естественных условиях. Благодаря удачно выбранной тактике распространения на заражение всех доступных машин у червя ушло всего 45 минут.
- Witty нес в себе огромный заряд деструктивности. Он первым из червей, сумевших получить широкое распространение, полностью разрушал информацию. Причем делал это очень грамотно. Вредоносная часть кода стирала данные на случайным образом выбираемых накопителях случайными порциями по 64 Кбайт. Таким образом, мгновенно наносимый ущерб практически не оказывал влияния на скорость распространения червя.
Witty открыл новую главу в истории развития вредоносного программного обеспечения. Если бы для его распространения выбирались общие уязвимые места Windows, он вполне мог бы стать самым разрушительным червем из всех, с которыми нам приходилось сталкиваться до сих пор. Разработчики червей учатся друг у друга. Можно с уверенностью утверждать, что другие авторы вирусов тщательно проанализируют код Witty и используют заложенные в нем принципы в своих будущих детищах. Более того, автор Witty до сих пор неизвестен и от него стоит ожидать продолжения ранее начатой деятельности.
Более подробную информацию о черве Witty можно найти в Сети по адресу www.icsi.berkeley.edu/~nweaver/login_witty.txt.