时间：2004年3月29日

　　国家计算机病毒应急处理中心通过对互联网的监测，发现一个新的蠕虫病毒，名为"维迪"（Worm_Witty.A）,该病毒通过UDP 4000端口向随机IP发包，其机理类似于Slammer，利用UDP报文传播。病毒利用了ISS公司的产品漏洞。病毒出现首先表现为UDP端口4000的流量异常。

　　由于ISS公司产品多用于网络监控和管理，所以Witty蠕虫有可能对ISP造成严重影响，而对于最终用户影响并不显著。
  
　　建议使用相关产品的用户立即到ISS公司的网站http://www.iss.net/downloa d/ ，下载漏洞的补丁程序和进行产品的升级。

　　病毒名称："维迪"（Worm_Witty.A）
   
　　其它名称： W32.Witty.Worm（Symantec）

　　W32/Witty.worm（McAfee）

　　WORM_WITTY.A（Trend）
   
　　病毒类型：蠕虫
   
　　感染系统：Windows 95\98\2000\ NT\Me\ XP\Server 2003
   
　　病毒长度：660字节 ，可能变化
   
　　病毒特征：

　　病毒利用2004年3月19日EEYE公司公布ISS（Internet Security Systems）公司产品中的漏洞信息，ISS公司有问题的产品包括：

　　RealSecure Network 7.0, XPU 22.11 及以前版本；
　　RealSecure Server Sensor 7.0 XPU 22.11及以前版本；
　　RealSecure Server Sensor 6.5 for Windows SR 3.10及以前版本；
　　Proventia A Series XPU 22.11及以前版本；
　　Proventia G Series XPU 22.11及以前版本；
　　Proventia M Series XPU 1.9 及以前版本；
　　RealSecure Desktop 7.0 ebl 及以前版本；
　　RealSecure Desktop 3.6 ecf 及以前版本；
　　RealSecure Guard 3.6 ecf 及以前版本；
　　RealSecure Sentry 3.6 ecf 及以前版本；
　　BlackICE Agent for Server 3.6 ecf 及以前版本；
　　BlackICE PC Protection 3.6 ccf 及以前版本；
　　BlackICE Server Protection 3.6 ccf 及以前版本；

　　病毒具有以下特征：
 
　　1、通过UDP 4000端口向随机IP毒的随机端口发送自身，并且伪装成ICQ数据包。
 
　　2、利用ISS公司产品在扫描ICQ数据包时的漏洞，通过缓冲溢出，获得系统权限。
 
　　3、病毒驻留内存，并且不会在机器上创建文件，但会向硬盘中写入随机数据。

　　专家提醒：

　　1、使用相关产品的用户，没有修补漏洞的情况下应立即断开各种网络连接，然后进行漏洞的修补和产品的升级。

　　2、在边界封堵UDP4000端口。

　　3、由于病毒并不在机器上创建文件，所以如果遭到攻击，断开网络重新启动系统。然后使用数据恢复工具进行数据恢复。

·IT产品报价大全

[1]