En ny orm, døbt Witty, er i løbet af weekenden begyndt at sprede sig mellem pc'ere, servere og netværksudstyr, som kører på Microsofts styresystem, Windows, og har installeret sikkerhedssoftware fra Internet Security Systems, ISS.
Det drejer sig om sikkerhedssoftwaren Blackice og Realsecure, hvor der findes en sårbarhed i det modul, som håndterer ICQ-forespørgsler.
Ormen spreder sig automatisk mellem sårbare maskiner ved at sende pakker ud på netværket. Når en pakke rammer en sårbar maskine, bliver maskinen inficeret, og ormen lægger sig i hukommelsen.
Ormen forsvinder igen ved genstart af maskinen, men uden en opdatering af softwaren fra ISS vil maskinen kunne inficeres igen.
Når Witty har inficeret en maskine, vil den forsøge at sende sig selv videre til 20.000 tilfældige IP-adresser. Derefter overskriver den et tilfældigt sted på harddisken med selve den DLL-fil, som indeholder den sårbarhed, som Witty udnytter.
Derefter gentager den processen. Ifølge en test foretaget af antivirusfirmaet Network Associates betyder det, at i løbet af 10 minutter har ormen forvoldt så stor skade på testmaskinen, at den var ude af stand til at genstarte styresystemet.
Kuren mod ormen er dels at opdatere softwaren fra ISS, dels kan man lukke for den netværksport, som ormen spreder sig gennem. Witty spreder sig via UDP på port 4.000.
Antivirusfirmaerne har døbt ormen Witty, fordi den indeholder teksten "insert witty remark here" (indsæt smart bemærkning her).
Witty er forholdsvis lille, da hele ormen fylder lige knap én kilobyte, og kan derfor indeholdes i en enkelt UDP-pakke. Ormen SQL-Slammer, som Witty minder meget om, fylder dog endnu mindre, nemlig 376 bytes.
Relevant link: