《W32.SQLExp.Worm》是一款Worm,支持376 bytes。
基本信息
发现: 2003 年 1 月 24 日
: 2007 年 2 月 13 日 11:48:11 AM
别名: SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]
类型: Worm
感染长度: 376 bytes
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 参考: CAN-2002-0649
W32.SQLExp.Worm 的攻击是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的。该
蠕虫发送长度为376字节的包到 UDP 1434 端口,即 SQL 服务器的解析服务端口。
因为发送大量的
数据包,该
蠕虫也会导致具有“拒绝服务”(DoS)效果的攻击。
赛门铁克安全响应强烈建议 Microsoft SQL Server 2000 或 MSDE 2000 的用户根据 Microsoft Security Bulletin MS02-039 和 Microsoft Security Bulletin MS02-061 审核机器的安全漏洞。
赛门铁克安全响应还建议:
* 对不知名的机器关闭1434端口。
* 不发送以1434端口为目的地的 UDP 包。
杀毒工具
Symantec 提供了杀除 W32.SQLExp.Worm 的工具。单击此处可获得该工具。这是消除此威胁最简便的方法,应首先尝试此方法。因为该
蠕虫是内存驻留型程序而非写入硬盘,此威胁不能通过病毒定义查找。建议客户依照本文描述的特征来检查该威胁。
请依照下面的技术详细说明部分设置
赛门铁克防毒产品侦测威胁。
威胁评估
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: High
* 威胁抑制: Easy
* 清除: Easy
损坏
* 损坏级别: Low
* 降低性能: May affect network availability
分发
* 分发级别: Medium
* 端口: UDP port 1434. The worm continuously sends traffic to randomly generated IP addresses, attempting to send itself to hosts running the Microsoft SQL Server Resolution Service, and that, therefore listens on that particular port.
W32.SQLExp.Worm 侵害一个有安全漏洞的系统时将执行以下操作:
o 将自己发送到负责在 UDP 1434
端口监听的 SQL 服务器解析服务(SQL Server Resolution Service)。
o 利用“缓存区溢出导致部分
系统内存被覆盖”这一
安全漏洞。这样一来
蠕虫就可以拥有一般 SQL 服务器服务所拥有的安全权限。
o 调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地址。
o 在受感染的机器上建立一个“socket”,使用一个临时端口将自己重复得从随机生成的 IP 地址发送给UDP 1434 端口。 因为
蠕虫不选择攻击网络中特定的主机,它运行的直接后果是巨大的通信流量。
更多技术描述信息,请参阅下面的链接(英文,PDF 格式):
W32.SQLExp.Worm SQL Server Worm Analysis
Deepsight™ Threat Management System Threat Analysis
Symantec Gateway Security
赛门铁克已经就该威胁通过 LiveUpdate 发布了 Symantec Gateway Security 更新。请单击此处了解更多关于如何使用该产品限制 W32.SQLExp.Worm 导致的网络通信入侵。
Enterprise Security Manager
赛门铁克已经就该威胁发布了 Enterprise Security Manager 策略。有关详细信息,请单击此处。
入侵警报
赛门铁克已经为 NetProwler 3.5x 发布了 3.5/3.6 入侵警报集成策略。有关详细信息,请单击此处。
NetProwler
赛门铁克已经为 NetProwler 3.5.1 发布了第22安全更新程序用以侦测 W32.SQLExp.Worm。有关详细信息,请单击此处。
Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall
单击此处了解如何使用
赛门铁克的 Enterprise Firewall,VelociRaptor 和 Raptor 产品来限制 W32.SQLExp.Worm 导致的网络通信入侵。
Symantec ManHunt Protocol Anomaly Detection 技术将该威胁产生的通信流量称为“UDP 泛滥”。
赛门铁克建议 Symantec ManHunt 用户激活“HYBRID MODE ”功能然后使用下列规则:
*******************start file********************
#
#Variables need to be set dependent on the users network. Below are examples on how to set
# variable. For more information see ManHunt Administrative Guide: Appendix A.
#
#var EXTERNAL_NET 192.168.1.0/24
#
#
#
var EXTERNAL_NET any
var HOME_NET any
#
#
#
*************EOF*********************
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置
电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些
浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
Removal Tool
Symantec has provided a tool to remove infections of W32.SQLexp.Worm. Click here to obtain the tool. This is the easiest way to remove this threat and should be tried first. Because the worm is only resident in memory, and is not written to disk, this threat is not detectable using virus definitions. Customers are recommended to follow the measures described in this document in order to deal with this threat.
描述者: Douglas Knowles