Zpět  

Červ Witty – nebezpečný precedens

Witty se objevil 19. března 2004. Na rozdíl od svých populárnějších kolegů, využívajících zranitelností v produktech společnosti Microsoft, mu nebyla věnována pozornost médií. Je to škoda, protože právě Witty je ve více ohledech přelomový.

Dosud se červy snažily co nejdéle působit na hostitelském systému s cílem rozeslat co nejvíce svých kopií, ne tak Witty. Po napadení systému se nějaký čas snažil rozšířit, pak však začal pracovat na destrukci svého hostitele.

Cílem útoku nebyl zástup počítačů provozujících ty či ony produkty firmy Microsoft, ale poměrně nepočetná skupina systémů provozujících zranitelné ISS produkty. Předpokládá se, že v době nástupu červa bylo celkem pouze 12 tisíc zranitelných systémů.

Červ se šířil díky zranitelnosti v produktech, které spadají do kategorie bezpečnostních systémů, tj. májí být ochranou, ne vstupní branou.

Interval mezi oznámením zranitelnosti, které červ využil, a začátkem jeho šíření byl jeden den, což je zatím nejkratší známý termín.

Červ se nezačal šířit z jednoho počítače, ale k jeho rychlému nástupu bylo použito více strojů. V prvních 10 sekundách bylo nakaženo 110 počítačů. Po 30 vteřinách bylo infikováno 160 systémů. Nárůst tedy klesl na 2.5 infikovaného stroje za vteřinu oproti 11 v prvních deseti sekundách.

Všechny renomované antivirové společnosti rychle zareagovaly vydáním updatů. Wittymu však k rozšíření po celém Internetu stačilo 45 minut.

Závěrem lze konstatovat otřepanou skutečnost, že čert nikdy nespí a jak jsem zmínil výše, umí občas pěkně vystrčit růžky a to i tam, kde to čekáme nejméně.

Analýza 1 červa Witty
Analýza 2 červa Witty
Zranitelnost produktů ISS

-mho-