McAfee for Small Businesses

-　2004年3月18日　太平洋標準時間 04:25 更新情報

・W32/Witty.wormはメディアの関心を集めたので 、危険度を“低〔要注意〕”にしました。

・脆弱なBlackIce製品を使用しないユーザは、W32/Witty.wormに感染することはありません。

・W32/Witty.wormはネットワークワームで、BlackIce製品のISS/PAM ICQモジュールの脆弱性（ISS advisoryを参照）を悪用します。

・感染システムを再起動すると、W32/Witty.wormはメモリから削除され、システムの起動時に再び読み込まれることはありません。ただし、最新のバージョンに更新しない、またはシステムから削除せずに脆弱なBlackIce製品を使用すると、再感染する可能性があります。

・W32/Witty.wormはネットワークトラフィックを介してのみ繁殖します。電子メールを送信したり、マシンにファイルをドロップ（作成）したりすることはありません。ユーザが何かをクリックしなくても感染し、感染プロセスは全く見えません。

注：W32/Witty.wormは、ターゲットマシンにファイルをドロップ（作成）しないので、定義ファイル4340以降ではマシンの感染時にメモリでW32/Witty.wormが実行されると検出します。

・悪質なパケットが脆弱なマシンに送信されると、W32/Witty.wormがメモリで実行されて、新たなターゲットマシンから繁殖を開始します。

・W32/Witty.wormは、まずUDPポート4000からランダムなIPアドレスとポートに20,000パケットを送信します。次に、ハードドライブのランダムな場所に悪用するDLLファイル（64Kバイト）を書き込みます。その後繁殖を再開して、繁殖を繰り返します。

・ディスクのランダムな場所に65Kバイトのファイルを書き込むという発病ルーチンによって、ファイルを破壊します。マシンの感染時間に応じて、ハードドライブの損傷部分も大きくなります。AVERTのテストでは、10分間感染したシステムは、システムファイルが損傷したために再起動できませんでした。

・損傷したファイルは上書きされているので、駆除できません。バックアップによる交換が必要です。

・バージョンBlackIce 3.6.ccfは、W32/Witty.wormに感染します。ただし、3.5以前のバージョンおよび最新バージョン(BlackIce 3.6.ccg)は感染しません。

・BlackIce製品のパッチは、http://blackice.iss.net/update_center/index.phpで入手してください。