Da pochi giorni il traffico di Internet è congestionato da un nuovo worm: Witty. Scritto in assembly, linguaggio di programmazione a basso livello, il worm è tanto piccolo quanto distruttivo.

Come Blaster infatti questo malicious code non ha bisogno di essere eseguito per propagarsi ma si installa sui computer vittima sfruttando una vulnerabilità riscontrata in alcuni prodotti della software house Internet Security Systems (Iss), produttrice tra l'altro del popolare personal firewall Black Ice.

Iss utilizza un componente, comune a molti suoi prodotti, chiamato Protocol Analysis Module (Pam) che ha il compito di analizzare il traffico generato da alcuni protocolli.

Una volta infiltratosi nella macchina vittima il worm invia utilizzando la porta 4000 una quantità ingente di pacchetti UDP contro 20000 indirizzi Ip casuali. La quantità di pacchetti inviati potrebbe creare seri problemi alle macchine attaccate tra cui un possibile denial of service.

Ma il worm non si ferma qui. L'altra caratteristica peculiare di Witty è quella di danneggiare irrimediabilmante gli hard disk dei computer infettati, costringendo gli utenti a dover formattare l'hard disk per riottenere un sistema avviabile e funzionante.

Queste sono le versioni dei prodotti affetti dalla vulnerabilità in grado di far insediare Witty: BlackICE Agent for Server 3.6 (ebz, ecd, ece, ecf), BlackICE PC Protection 3.6 (cbz, ccd, ccf), BlackICE Server Protection 3.6 (cbz, ccd, ccf), RealSecure Network 7.0 (XPU 22.4 and 22.10), RealSecure Server Sensor 7.0 (XPU 22.4 and 22.10), RealSecure Desktop 7.0 (ebf, ebj, ebk, ebl), RealSecure Desktop 3.6 (ebz, ecd, ece, ecf), RealSecure Guard 3.6 (ebz, ecd, ece, ecf), RealSecure Sentry 3.6 (ebz, ecd, ece, ecf).

Il consiglio per chi usa questi prodotti e di correre ad aggiornarli prima possibile scaricando le patch e le nuove versioni nella sezione download di Iss.