Analyse van de kort maar krachtige Witty worm
Op vrijdag 19 maart verscheen er een Internetworm die van een lek in verschillende produkten van Internet Security Systems (ISS) misbruik maakte. De Witty worm, die een payload van slechts 637 bytes bevatte, wist een lek, dat eerder deze maand ontdekt was, in firewall applicaties zoals BlackICE te exploiten. Had de worm een computer geinfecteerd, dan verwijderde het willekeurige delen van de hardeschijf, waardoor de machine onbruikbaar werd. De payload van de worm bevatte de tekst "(^.^) insert witty message here (^.^)" waardoor het de naam Witty kreeg. Deze uitgebreide analyse kijkt hoe de worm zich zo snel kon verspreiden, welke landen getroffen worden en nog meer. Het artikel is tevens van een aantal aardige grafieken voorzien.
Reacties (11)
Best wel een domme virusschrijver: door de lokale harde schijf te
formatteren, werd de worm zelf de das omgedaan en werd verdere
verspreiding onmogelijk gemaakt. Vandaar een korte opleving, maar
vervolgens stierf het beestje vanzelf uit...
formatteren, werd de worm zelf de das omgedaan en werd verdere
verspreiding onmogelijk gemaakt. Vandaar een korte opleving, maar
vervolgens stierf het beestje vanzelf uit...
Door Anoniem
Best wel een domme virusschrijver: door de lokale harde schijf te
formatteren, werd de worm zelf de das omgedaan en werd verdere
verspreiding onmogelijk gemaakt. Vandaar een korte opleving, maar
vervolgens stierf het beestje vanzelf uit...
Best wel een domme virusschrijver: door de lokale harde schijf te
formatteren, werd de worm zelf de das omgedaan en werd verdere
verspreiding onmogelijk gemaakt. Vandaar een korte opleving, maar
vervolgens stierf het beestje vanzelf uit...
Best wel een domme opmerking van anoniempje. Vast niet het stuk gelezen.
Er zijn wereldwijd misschien 12.000 systemen die last hebben van dit
probleem. Om alle target systemen te infecteren had de worm nog geen 2
uur nodig. Om na een tijdje zo'n systeem dan helemaal dood te maken
maakt niet zoveel uit voor de verspreidingssnelheid, maar draagt wel bij aan
de kwaadaardigheid van de worm. De reden dat het beestje uitstierf was niet
omdat het zichzelf de das om deed, maar omdat de hele hostpopulatie
uitstierf. (voor de leken, het doel was om een zeldzaam soort panda dood te
maken. Dat is gelukt, deze zeldzame panda is dood, dat daarmee niet alle
dieren dood zijn zegt niets over de effectiviteit van de worm)
Ik raad anoniempje aan de volgende keer niet kritiek te leveren op een
analyse van CAIDA... CAIDA mensen zijn echt te slim daaarvoor.
RB
lol
nooit gehoort van de Warhol worm??
een worm die binnen de 15min alle vulnerable systemen kan infecteren...
na die 15min kan het zich niet meer verder verspreiden (of toch niet veel) dus
is dat het ideale moment om de payload uit te voeren
maar ja, zo slim ben je wss niet
I.D.I.O.T
nooit gehoort van de Warhol worm??
een worm die binnen de 15min alle vulnerable systemen kan infecteren...
na die 15min kan het zich niet meer verder verspreiden (of toch niet veel) dus
is dat het ideale moment om de payload uit te voeren
maar ja, zo slim ben je wss niet
I.D.I.O.T
hmmm......dus de witty worm verspreid zichzelf niet meer?!
en het kon alleen komen via firewalls?
en het kon alleen komen via firewalls?
Door Anoniem
Best wel een domme opmerking van anoniempje. Vast niet het stuk
gelezen.
Er zijn wereldwijd misschien 12.000 systemen die last hebben van dit
probleem. Om alle target systemen te infecteren had de worm nog
geen 2
uur nodig. Om na een tijdje zo'n systeem dan helemaal dood te maken
maakt niet zoveel uit voor de verspreidingssnelheid, maar draagt wel
bij aan
de kwaadaardigheid van de worm. De reden dat het beestje uitstierf
was niet
omdat het zichzelf de das om deed, maar omdat de hele
hostpopulatie
uitstierf. (voor de leken, het doel was om een zeldzaam soort panda
dood te
maken. Dat is gelukt, deze zeldzame panda is dood, dat daarmee
niet alle
dieren dood zijn zegt niets over de effectiviteit van de worm)
Ik raad anoniempje aan de volgende keer niet kritiek te leveren op
een
analyse van CAIDA... CAIDA mensen zijn echt te slim daaarvoor.
RB
Door Anoniem
Best wel een domme virusschrijver: door de lokale harde schijf te
formatteren, werd de worm zelf de das omgedaan en werd verdere
verspreiding onmogelijk gemaakt. Vandaar een korte opleving, maar
vervolgens stierf het beestje vanzelf uit...
Best wel een domme virusschrijver: door de lokale harde schijf te
formatteren, werd de worm zelf de das omgedaan en werd verdere
verspreiding onmogelijk gemaakt. Vandaar een korte opleving, maar
vervolgens stierf het beestje vanzelf uit...
Best wel een domme opmerking van anoniempje. Vast niet het stuk
gelezen.
Er zijn wereldwijd misschien 12.000 systemen die last hebben van dit
probleem. Om alle target systemen te infecteren had de worm nog
geen 2
uur nodig. Om na een tijdje zo'n systeem dan helemaal dood te maken
maakt niet zoveel uit voor de verspreidingssnelheid, maar draagt wel
bij aan
de kwaadaardigheid van de worm. De reden dat het beestje uitstierf
was niet
omdat het zichzelf de das om deed, maar omdat de hele
hostpopulatie
uitstierf. (voor de leken, het doel was om een zeldzaam soort panda
dood te
maken. Dat is gelukt, deze zeldzame panda is dood, dat daarmee
niet alle
dieren dood zijn zegt niets over de effectiviteit van de worm)
Ik raad anoniempje aan de volgende keer niet kritiek te leveren op
een
analyse van CAIDA... CAIDA mensen zijn echt te slim daaarvoor.
RB
Als door een pof-adder gebeten, maar...ik heb geen kritiek geleverd
op CAIDA, zoals anoniempje beweert, maar op de DOMME
virusschrijver..... In het vervolg wat BETER lezen VOORDAT kritiek
wordt geleverd, zou beter geweest zijn.....
Yep, en daar ben ik het mee eens! Geen DOMME maar STOMME
virusschrijver!
virusschrijver!
schatting van 12000 host geinfecteerd met data-corruptie
als gevolg.
IIS zegt "The impact is not widespread across the Internet
Security Systems customer base, with less than 2% of agents
deployed affected. Security firms have listed the worm as a
low risk threat given the small percentage of infections
against the total population"
hoezoe bagitaliseren...
als gevolg.
IIS zegt "The impact is not widespread across the Internet
Security Systems customer base, with less than 2% of agents
deployed affected. Security firms have listed the worm as a
low risk threat given the small percentage of infections
against the total population"
hoezoe bagitaliseren...
De HDD werd niet geformatteerd zoals iemand schreef.........
Delen van de HDD werden gewist. Ik geloof dat dat toch echt
anders is.
Het valt dus wel op dat bepaalde virussen steeds
"discriminerender" worden. Als dat niet al waren, want de
meeste wormen richten zich op Windows-platformen.
Maar MyDoom richte zich bijvoorbeeld op de 42 meest
voorkomende Amerikaanse voornamen. Witty richte zich op een
bepaalde leverancier (om zo dus een exploit duidelijk te maken).
Ik denk dat de komende generaties, steeds minder
"kijkcijfers" zal genereren, maar wel harder zal toeslaan.
Nog een geluk dat de payload van Witty niet MungaBunga's
harddrive-killer was. Dat batch programmaatje kan binnen 10
sec. alle HDD's van een machine geheel onbruikbaar maken.
Niet meer te repareren, niet meer te analyseren.
Of breng ik nu mensen op ideeen??
- Unomi -
Delen van de HDD werden gewist. Ik geloof dat dat toch echt
anders is.
Het valt dus wel op dat bepaalde virussen steeds
"discriminerender" worden. Als dat niet al waren, want de
meeste wormen richten zich op Windows-platformen.
Maar MyDoom richte zich bijvoorbeeld op de 42 meest
voorkomende Amerikaanse voornamen. Witty richte zich op een
bepaalde leverancier (om zo dus een exploit duidelijk te maken).
Ik denk dat de komende generaties, steeds minder
"kijkcijfers" zal genereren, maar wel harder zal toeslaan.
Nog een geluk dat de payload van Witty niet MungaBunga's
harddrive-killer was. Dat batch programmaatje kan binnen 10
sec. alle HDD's van een machine geheel onbruikbaar maken.
Niet meer te repareren, niet meer te analyseren.
Of breng ik nu mensen op ideeen??
- Unomi -
Door Anoniem
Maar MyDoom richte zich bijvoorbeeld op de 42 meest
voorkomende Amerikaanse voornamen. Witty richte zich op een
bepaalde leverancier (om zo dus een exploit duidelijk te
maken).
- Unomi -
Maar MyDoom richte zich bijvoorbeeld op de 42 meest
voorkomende Amerikaanse voornamen. Witty richte zich op een
bepaalde leverancier (om zo dus een exploit duidelijk te
maken).
- Unomi -
Dit als zo oud als virussen bestaan ... heeft niets met
producten te maken ... maar met mensen ...
Door Anoniem
Nog een geluk dat de payload van Witty niet MungaBunga's
harddrive-killer was. Dat batch programmaatje kan binnen 10
sec. alle HDD's van een machine geheel onbruikbaar maken.
Niet meer te repareren, niet meer te analyseren.
- Unomi -
Nog een geluk dat de payload van Witty niet MungaBunga's
harddrive-killer was. Dat batch programmaatje kan binnen 10
sec. alle HDD's van een machine geheel onbruikbaar maken.
Niet meer te repareren, niet meer te analyseren.
- Unomi -
1. vergis je niet wat van een hd na 10 purging nog af te
lezen ... zelf met koppen crash ... voor al door
gespecialiseerde bedrijven
2. gelukkig maar dat de meeste virii momenteel voor het
vergaren van zombies zijn en niet met destructive payload
waar over na gedacht is ...
Door Anoniem
schatting van 12000 host geinfecteerd met data-corruptie
als gevolg.
IIS zegt "The impact is not widespread across the Internet
Security Systems customer base, with less than 2% of agents
deployed affected. Security firms have listed the worm as a
low risk threat given the small percentage of infections
against the total population"
hoezoe bagitaliseren...
schatting van 12000 host geinfecteerd met data-corruptie
als gevolg.
IIS zegt "The impact is not widespread across the Internet
Security Systems customer base, with less than 2% of agents
deployed affected. Security firms have listed the worm as a
low risk threat given the small percentage of infections
against the total population"
hoezoe bagitaliseren...
ISS dekt gewoon haar belangen ... jammer dat er geen
instantie is die haar op de vingers kan tikken
Door Anoniem
1. vergis je niet wat van een hd na 10 purging nog af te
lezen ... zelf met koppen crash ... voor al door
gespecialiseerde bedrijven
2. gelukkig maar dat de meeste virii momenteel voor het
vergaren van zombies zijn en niet met destructive payload
waar over na gedacht is ...
1. vergis je niet wat van een hd na 10 purging nog af te
lezen ... zelf met koppen crash ... voor al door
gespecialiseerde bedrijven
2. gelukkig maar dat de meeste virii momenteel voor het
vergaren van zombies zijn en niet met destructive payload
waar over na gedacht is ...
Ehm..... de maker van HardDrive Killer
([url=http://www.hackology.com]MungaBunga[/url] whoever that
may be) heeft het zelf getest. Ik zou zeggen download het,
laat het los op een oude HDD en laat het eens onderzoeken
door een expert.
Er is niets, maar dan ook niets van terug te halen. In elk
geval te weinig om er nog soep van te koken. Ik heb het
geprobeerd, al heb ik het niet laten onderzoeken.
Ja, ik ben het met je eens dat het vergaren van zombies nog
iets teruggeeft aan de virusmaker. Maar destructieve virii
zitten er echt wel aan te komen. Goed voor de
economie............ Net als dat dokters niet nodig zouden
zijn als we nooit ziek werden.
- Unomi -
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!