Alerte virale : le Ver witty attaque

[invite37693cfc]

Un ver a détruit ou endommagé des dizaines de milliers d'ordinateurs personnels ce week-end, en exploitant une faille présente dans le firewall blackice, censé normalement les protéger contre ce genre de programmes destructeurs.

Le ver witty a ainsi pu écrire à sa guise de façon aléatoire sur les disques durs des ordinateurs touchés, plus de 50000 à l'heure actuelle. Cela a entrainé une destruction du système d'exploitation des PC en question.

Ce ver est donné pour être très destructeur. Une fois l'ordinateur contaminé, il est nécessaire de le réinstaller entièrement, la majorité des données étant corrompues ou carrément détruites.

A la différence des vers actuels qui se répandent en tant que pièce jointe dans un e-mail, le ver witty se diffuse automatiquement entre les ordinateurs vulnérables, sans aucune action de l'utilisateur.

Une machine infectée par witty se met à envoyer sur le réseau local une grande quantité de paquets UDP, pouvant aller jusqu'à saturer la bande passante disponible sur la liaison LAN.

A aucun moment le ver ne s'inscrit sur le disque dur. Un simple reboot suffit à l'enlever du système. En revanche, s'il a eu le temps d'écrire dans les parties sensibles de votre disque dur, il est possible que votre ordinateur ne redémarre pas.

Les deux produits de type pare-feu de la société ISS, sensibles à cette faille sont blackice et real secure.

source Ixus
-----

[invite16d11e95]

Ca ca la fou mal... heureusement que j'utilise pas ça comme firewall...
C'est le comble quand même !!

[invite8832ae39]

donc, je suppose qu'avec un norton internet et anti-virus à jour, on est bien protégé ?

[invite16d11e95]

Norton internet je sais pas ce que ça vaut.
Norton anti-virus est le plus utilisé mais pas le meilleur anti-virus non plus

[A voir en vidéo sur Futura]

[invite8832ae39]

j'en suis extrêmement satisfaite, et cela n'empêche pas de compléter par un anti-virus en ligne, gratuit, de temps à autre :
http://www.secuser.com/

Question pour le ver Witty, comment entre-t-il dans le pc ? si ce n'est pas par le courrier, ?

[invite16d11e95]

Question pour le ver Witty, comment entre-t-il dans le pc ? si ce n'est pas par le courrier, ?

Tout est dit... par une faille dans le firewall !!!

[JPL]

Source :
http://xforce.iss.net/xforce/alerts/id/166

A vulnerability was discovered in the ICQ instant messaging protocol
parsing routines of the ISS Protocol Analysis Module (PAM) component.
The PAM module is a shared component of all current ISS host, server,
and network protection software and devices. The flaw relates to
incorrect parsing of the ICQ protocol which may lead to a buffer
overflow condition.

Affected Versions:

RealSecure® Network 7.0, XPU 22.11 and before
RealSecure Server Sensor 7.0 XPU 22.11 and before
RealSecure Server Sensor 6.5 for Windows SR 3.10 and before
Proventia™ A Series XPU 22.11 and before
Proventia G Series XPU 22.11 and before
Proventia M Series XPU 1.9 and before
RealSecure Desktop 7.0 ebl and before
RealSecure Desktop 3.6 ecf and before
RealSecure Guard 3.6 ecf and before
RealSecure Sentry 3.6 ecf and before
BlackICE™ Agent for Server 3.6 ecf and before
BlackICE PC Protection 3.6 ccf and before
BlackICE Server Protection 3.6 ccf and before

Le problème est donc plus général.

[invitee9fd7c2c]

Non, il ne s'applique qu'aux 2 fw sus cités. L'alerte que tu vient de diffuser stipule juste que le vers utilise un buffer OverFlow lorsque le fw tente de faire passer le proto ICQ. Ce n'est pas une faille du proto ICQ, mais bien du fw.
Plus d'infos : http://www.k-otik.com/news/03.21.Wetty.php

[JPL]

D'accord, je voulais dire simplement que cela ne touchait pas le seul FW tu tu avais cité.

[invitefbad540b]

bonjour merci pour les sites de sience que vous donner la jadorre sience et JADORRE L2LECTRONIQUE SUR TOUS