کرم Witty فصل جدیدی در نرم‌افزارهای مخرب

اگر پوشش خبری هدایت شده بود ، كرم Witty اینقدر موفق نمی شد . Blaster ، SQL Slammer، Nimda و حتی Sasser هر روز اخبار زیادی را به خود اختصاص می دهند . اما Witty به تنهایی حدود ۱۲۰۰۰ ماشین را آلوده كرد ، تقریباً هیچ یك از این ماشین های آلوده هم كاربرد خانگی نبودند . به نظر نمی رسید كه مسئله مهم باشد اما در واقع مسئله بسیار مهم و جدی است . Witty معرف نسل جدیدی از كرم های مخرب است . متخصصین IT می بایست Witty را بشناسند و بدانند كه این كرم چگونه عمل می كند .

Witty اولین كرمی بود كه بخش خاصی از محصولات امنیتی را مورد اصابت قرار داد ، در این شرایط بخش Black ICE و RealSecure مربوط به Internet Sesurity System مورد هدف كرم قرار گرفتند . این كرم ها تنها كامپیوتر هایی را آلوده و تخریب كردند كه با مدل های خاصی از این نرم افزار ها اجرا می شدند .

● مطالب چندی در مورد این كرم می دانیم :

▪ Witty به شدن موفق بوده ، ۱۲ هزار ماشین كلاً آسیب دیده و آنها را در معرض دید همگان قرار داد . تمامی موارد آلوده شدند و این كار تنها در عرض ۴۵ دقیقه صورت گرفت . این كرم اولین كرمی بود كه بخش كوچكی را به سرعت آلوده كرد . كرم های قبلی كه بخش های كوچك را مورد اصابت قرار می دادند ، اساساً كند عمل می كنند . مثل Slapper و Scaper .

▪ Witty به سرعت نوشته شده است ، در هشتم ماه مارس شركت امنیتی e-eye Digital Security در محصولات Black ICE/ RealSecure ساخت ISS نقایصی گزارش كرد . ۹ مارس ISS یك Patch طراحی كرد . e-eye یك توصیف تخصصی از ایرادات در ۱۸ مارس منتشر كرد .

▪ بعد از ظهر ۱۹ مارس حدود ۳۶ ساعت پس از مقاله ، كرم Witty به سرعت سرسام آوری پخش شد .

▪ Witty به خوبی نوشته شده است كمتر از ۷۰۰ بایت است برای انتشار از ژنراتور اعداد تصادفی استفاده می كند و از مشكلات متداول كرم های سابق دوری می كند . با ارسال خود به یك آدرس IP كه به طور تصادفی انتخاب شده است با پورتهای تصادفی مقصد منتشر می شود .

حقه ای كه رخنه آن را در فایروال سهولت می بخشد . این مسئله بسیار مهم بوده و هست . نداشتن باگ . این مسئله شدیداً حاكی از آن است كه این كرم قبل از پخش شدن آزمایش شده بود .

▪ Witty با درایت منتشر شد ، در یك شبكه كه حدود ۱۰۰ ماشین دارای نقص مذكور وجود داشت منتشر شد . این تكنیك پیشتر نیز بحث شده بود . اما Witty برای اولین بار از این تكنیك بهره جست . این تكنیك به همراه روش انتشار هوشمندانه Witty به این كرم كمك كرد تا هر میزبان قابل انتقال را در عرض ۴۶ دقیقه آلوده كند .

▪ Witty به طرز خارق العاده ای مخرب است . این كرم اولین كرم واگیر داری بود كه میزبان آلوده خود را نابود كرد . Payload این كار را نیز با ظرافت تمام انجام می داد . مخرب آن تمام اطلاعات موجود در درایوهایی را تصادفاً در دسترس كرم بودند در قطعه هایی ۶۴ كیلوبایتی از بین برد و پاك كرد و سبب شد بدون كاهش در سرعت انتشار كرم ، تخریب سریع تر هم شود .

حاصل جمع و نتیجه همه این مطالب آن است كه مشخصات نویسنده كرم برنامه نویسی بسیار باهوش و با تجربه بوده است . Witty اولین كرمی بود كه این سطح مهارت را با چنین سطح بدجنسی را در هم آمیخت یا در درون اطلاعات پیشرفته این نقص بوده است كه بسیار بعید است .

او این كرم را از روند معكوس پچ ISS ساخته ، یا اینكه بسیار سریع اقدام كرده است . شاید او قبلاً برنامه این كرم را نوشته داشته است و به محض دریافت اطلاعات نقص ISS دست به كار شده باشد . در هر صورت به نظر می رسد كه نویسنده آگاهانه می توانست منتظر یك نقص كلی تر و عمومی تر شود ، یا از مجموعه ای از نقایص استفاده كند . نقصی كه او انتخاب كرد حداكثر خسارت را به وسیله وارد می آورد . آیا این حمله علیه ISS طراحی شده است یا علیه كاربر خاصی كه از محصولات ISS استفاده می كرد ؟ ما نمی دانیم ؟

Witty فصل جدیدی در نرم افزارهای مخرب گشود ، اگر از نقائص متداول ویندوز برای پخش شدن استفاده كرده بود ، مخرب ترین كرمی می شد كه تاكنون دیده بودیم . نویسندگان كرم از یكدیگر چیزهای زیادی یاد می گیرند و باید بدانیم كه نویسندگان كرم از یكدیگر چیزهای زیادی یاد میگیرند و باید بدانیم كه نویسندگان كرم ها برنامه disassemble را دیده اند و از آن دوباره در طراحی كرم های آینده بهره می گیرند و حتی بدتر آن نویسنده Witty هنوز شناسایی نشده است و احتمال دارد در آینده نیز دوباره دست به چنین اقداماتی بزند . جهت دریافت اطلاعات بیشتر به سایت www.icsi.berkeley.edu/~nweaver/login-witty.txt مراجعه كنید .