Kezdolap  
 
   


W32/SQLSlammer.worm

Adatlap

Megjelenés dátuma: 2003.01.25.
Eredete: Ismeretlen
Hossza: 376 bájt
Típusa: Internet programféreg
Altípusa: SQL

Előfordulás valószínűsége

Vállalati környezet: KÖZEPES
Otthoni felhasználók: Alacsony

Tulajdonságok

Ennek az SQL programféregnek előfordulási valószínűsége közepes, de csak azokra az SQL 2000 és MSDE 2000 rendszerekre vonatkozik, amelyeken nincs telepítve az SP3.

A vírus csak a memóriában található meg (javítócsomaggal el nem látott Microsoft SQL szerverek esetén). A vírus egyik rendszerről a másikra terjed, de romboló rutint nem tartalmaz.

A fertőzés megnövekedett forgalmat okoz a 1434-es UDP porton és SQL szerverek között terjed. A forgalom-növekedés az összes hálózati rendszer teljesítményét hátrányosan érinti.

Tünetek

Szokatlanul magas kimenő forgalom a megtámadott rendszerről a 1434-es UDP porton. A programféreg nem található meg a fájlrendszerben, nem készít registry-bejegyzéseket és INI fájlokat.

A fertőzés menete

A féreg kódja a 04 értékkel kezdődik, melyet hosszú sorozat 01 követ. Amikor ezt az adafoylamot az SQL Monitor fogadja, létrehoz egy registry-kulcsot (HKLM\Software\Microsoft\Microsoft SQL Server\.....\MSSQLServer\CurrentVersion), amely tároló-túlcsordulást okoz.

Amint a programféreg átveszi az irányítást a megtámadott gép fölött, betölti a WS2_32.DLL-t és elkezdi saját kódját - végtelen ciklusban, folyamatosan - küldeni a 1434-es udp porton keresztül, véletlenszerűen választott IP címekre. Az "áldozat" IP címét a 'GetTickCount' API hívás segítségével állítja össze. Ez a terjedési módszer nagy sávszélességet igényel, mert a kérések legnagyobb része az Internet felé irányul.

Eltávolítási utasítások

Az AVERT javaslatai:

1. Zárják le a a 1434-es UDP portot a tűzfalon bejövő irányban.

2. Töltsék le és telepítsék a Service Pack 3 -at, és indítsák újra a szervert. Ez törli a vírust a memóriából és megakadályozza az újrafertőzést is.

A Stinger új változata alkalmas a féreg felderítésére és eltávolítására. A programnak rendszergazdai jogokkal kell futnia, de NEM akadályozza meg a későbbi visszafertőződést, ezért az SP3 telepítése javasolt.

További elnevezések:

DDOS_SQLP1434.A (Trend)
Sapphire (F-Secure, eEye)
W32.SQLExp.Worm (Symantec)

Eredeti leírás: http://vil.nai.com/vil/content/v_99992.htm

  
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2003.