Nachdem die Internet Sicherheitsfirma eEye bereits am 8. März den Hersteller Internet Security Systems (ISS) darauf hingewiesen hatte, dass in dessen RealSecure und BlackICE Firewall-Produkten eine Sicherheitslücke existiere, nutzt nun, kaum zwei Wochen später, ein Wurm diese Lücke aus und verbreitet sich weltweit auf Systemen die eigentlich als sicher galten.
Der von den Anti-Viren-Labors auf den Namen "Witty" getaufte Wurm verbreitet sich mithilfe des UDP Ports 4000 und kann wahrscheinlich diese Portnummer bei Bedarf auch ändern. Im Gegensatz zu den meisten anderen Würmern die zwar nerven, aber eigentlich kaum Schaden anrichten ist "Witty" extrem gefährlich. Er bleibt speicherresident, verbreitet sich auf die lokal erreichbaren Computer und überschreibt systematisch den Master Boot Record, die Partitionstabellen und willkürlich gewählte Sektoren auf den Festplatten des befallenen Systems. Die Wiederherstellung dieser Daten ist oft schwer, wenn nicht unmöglich.
Der Wurm bekam seinen Namen von einer "Botschaft" die in seinem Code auftaucht: "insert.witty.message.here" - witzige Mitteilung hier einsetzen.
Der von ISS herausgebrachte Patch für BlackICE kann auf der Produkt Update Seite heruntergeladen werden. Registrierte Benutzer von RealSecure können die Patches nach dem Einloggen bekommen. Auf den Seiten des US-CERT (US Computer Emergency Response Team) finden sich ebenfalls weitere Infos.
Quelle: winfuture.de