Er is een nieuwe worm opgedoken (W32.Witty.worm) die misbruik
maakt van kwetsbaarheden in BlackIce-producten (BlackIce ICQ-
Parser). Vandaar dat het Internet Storm Centrum spreekt van een
BlackIce-worm. Deze worm genereert een enorme hoeveelheid verkeer
op het internet via bronpoort 4000 UDP. De infocon is daarom tot
maandag a.s. van situatie Groen naar Geel opgewaardeerd. Dit
internetverkeer is inderdaad de afgelopen dagen in IDS logbestanden
teruggevonden. De worm probeert via elke willekeurige poort binnen te
komen en het is daarom raadzaam om inbound/outbound van
bronpoort 4000 UDP te blokkeren via een Firewall. Symantec heeft
vastgesteld dat de worm in het geheugen van de computer terecht
komt. De schade die deze worm aanricht is groot: de sektoren van een
willekeurige lokale harddisk worden overschreven. Wil men de worm
kwijt raken dan is rebooten van de computer voldoende. Virusdefinities
zijn daarom niet nodig. Uitgebreide instructies staan op de website van
Symantec.

BlackIce gebruikers kunnen updates downloaden via:
http://blackice.iss.net/update_center/index.php

Handlers diary van het ISC over BlackIce-worm is:
http://isc.sans.org/diary.html

Webpagina van Symantec:
http://securityresponse.symantec.com/