اگر پوشش خبری هدايت شده بود، كرم Witty اينقدر موفق نمی‌شد. Blaster، SQL Slammer، Nimda و حتی Sasser هر روز اخبار زيادی را به خود اختصاص می‌دهند. اما Witty به تنهايی حدود 12000 ماشين را آلوده كرد، تقريبا هيچ يك از اين ماشين‌های آلوده هم كاربر خانگی نبودند. به نظر نمی‌رسيد كه مسئله مهم باشد اما در واقع مسئله بسيار مهم و جدی است. Witty معرف نسل جديدی از كرم‌های مخرب است. متخصصين IT می بايست Witty را بشناسند و بدانند كه اين كرم چگونه عمل می‌كند.

Witty اولين كرمی بود كه بخش خاصی از محصولات امنيتی را مورد اصابت قرار داد، در اين شرايط بخش BlackICE و RealSecure مربوط به Internet Security System مورد هدف كرم قرار گرفتند. اين كرم‌ها تنها كامپيوترهايی را آلوده و تخريب كردند كه با مدل‌های خاصی از اين نرم‌افزارها اجرا می‌شدند.

مطالب چندی در مورد اين كرم می‌دانيم:

- Witty به شدت موفق بوده، 12 هزار ماشين كلا آسيب‌ديده و آنها را در معرض ديد همگان قرار داد. تمامی موارد آلوده شدند و اينكار تنها در عرض 45 دقيقه صورت گرفت. اين كرم اولين كرمی بود كه بخش كوچكی را به سرعت آلوده كرد. كرم‌های قبلی كه بخش‌های كوچك را مورد اصابت قرار می‌دادند، اساسا كند عمل می‌كنند مثل Slapper و Scaper.

- Witty به سرعت نوشته شده است، در هشتم ماه مارس شركت امنيتی e-eye Digital Security در محصولات Black ICE/RealSeare ساخت ISS نقايصی گزارش كرد. 9 مارس ISS يك Patch طراحی‍‌ كرد. e-eye يك توصيف تخصصی از ايرادات در 18 مارس منتشر كرد.

بعد از ظهر 19 مارس حدود 36 ساعت پس از مقاله e-eye، كرم Witty به سرعت سرسام‌آوری پخش شد.

-Witty به خوبی نوشته شده است. كمتر از 700 بايت است برای انتشار از ژنراتور اعداد تصادفی استفاده می‌كند و از مشكلات متداول كرم‌های سابق دوری می‌كند. با ارسال خود به يك آدرس IP كه به طور تصادفی انتخاب شده است با پورتهای تصادفی مقصد منتشر می‌شود.

حقه‌ای كه رخنه آن را در فايروال سهولت می‌بخشد. اين مسئله بسيار مهم بوده و هست. نداشتن باگ. اين مسئله شديدا حاكی از آن است كه اين كرم قبل از پخش شدن آزمايش شده بود.

- Witty با درايت منتشر شد، در يك شبكه كه حدود 100 ماشين دارای نقص مذكور وجود داشت منتشر شد. اين تكنيك پيشتر نيز بحث شده بود. اما Witty برای اولين بار از اين تكنيك بهره جست. اين تكنيك به همراه روش انتشار هوشمندانه Witty به اين كرم كمك كرد تا هر ميزبان قابل انتقال را در عرض 46 دقيقه آلوده كند.

- Witty به طرز خارق‌العاده‌ای مخرب است. اين كرم اولين كرم واگير داری بود كه ميزبان آلوده خود را نابود كرد. اين كار را نيز با ظرافت تمام انجام می‌داد. Payload مخرب آن تمام اطلاعات موجود در درايوهايی را كه تصادفا در دسترس كرم بودند در قطعه‌هايی 64 كيلوبايتی از بين برد و پاك كرد و سبب شد بدون كاهش در سرعت انتشار كرم، تخريب سريع‌تر هم شود .

حاصل جمع و نتيجه همه اين مطالب آن است كه مشخصات نويسنده كرم برنامه نويسی بسيار باهوش و باتجربه بوده است. Witty اولين كرمی بود كه اين سطح مهارت را با چنين سطح بدجنسی را در هم آميخت يا در درون اطلاعات پيشرفته اين نقص بوده است كه بسيار بعيد است.

او اين كرم را از روند معكوس پچ ISS ساخته، يا اينكه بسيار سريع اقدام كرده است. شايد او قبلا برنامه اين كرم را نوشته داشته است و به محض دريافت اطلاعات نقص ISS دست به كار شده باشد. در هر صورت به نظر می‌رسد كه نويسنده آگاهانه می‌توانست منتظر يك نقص كلی‌تر و عمومی‌تر شود، يا از مجموعه‌ای از نقايص استفاده كند. نقصی كه او انتخاب كرد حداكثر خسارت را به وسيله وارد می‌آورد. آيا اين حمله عليه ISS طراحی شده است يا عليه كاربر خاصی كه از محصولات ISS استفاده می‌كرد؟ ما نمی‌دانيم؟

Witty فصل جديدی در نرم‌افزارهای مخرب گشود، اگر از نقائص متداول ويندوز برای پخش شدن استفاده كرده بود، مخربترين كرمی می‌شد كه تاكنون ديده بوديم. نويسندگان كرم از يكديگر چيزهای زيادی ياد می‌گيرند و بايد بدانيم كه نويسندگان كرم‌ها برنامه disassemble را ديده‌اند و از آن دوباره در طراحی كرم‌های آينده بهره می‌گيرند و حتی‌ بدتر آن كه نويسنده Witty هنوز شناسايی نشده است واحتمال دارد در آينده نيز دوباره دست به چنين اقداماتی بزند.

جهت دريافت اطلاعات بيشتر به سايت www.icsi.berkeley.edu/~nweaver/login_witty.txt مراجعه كنيد.