 |
 |
|
|
|
|
|
|
| Naam (type): |
| W32.SQLexp.Worm (SQLslammer) (Exploit) |
| Besturing: |
| Microsoft Windows |
| Datum: |
| 25 januari 2003 |
| Risico: |
| Middel |
| Bron: |
| (c) 2003, VirusAlert |
| Aliassen: |
W32/SQLSlammer
W32/SQLSlam-A
W32.SQLexp.Worm
Worm.SQL.Helkern |
| Eigenschappen: |
Microsoft heeft een software-tool beschikbaar, waarmee eenvoudig geanalyseerd wordt of uw systeem kwetsbaar is, of er patches zijn etc.
klik hier
SQLexp is een wormvirus dat zich enkel richt op Microsoft servers werkend met SQL, te weten; Microsoft SQL server 2000. Het lijkt erop dat de worm tracht een dDOS-aanval te realiseren op willekeurige MS-servers.
De worm probeert via UDP-poort 1434 een infectie tot stand te brengen. Hiertoe stuurt het een datapakket van 376 bytes wat gebruik maakt van een kwetsbaarheid in MS SQL. Hiermee wordt het automatisch geactiveerd en geinstalleerd op het ontvangende systeem.
Het gebruikt hiertoe een buffer-overflow in "Server Resolution".
In zowel Service Pack 2 & 3 is een patch beschikbaar voor deze exploit/kwetsbaarheid. (zie link onderin pagina)
De worm verstuurt multi-cast datapakketjes waardoor verspreiding geschiedt richting alle 255 machines in een subnet. De verspreiding c.q. scan-acties verlopen derhalve 255x sneller dan van voorgaande wormen.
Vanaf deze server tracht de worm zich verder te verspreiden richting andere MS-servers, middels een netbios-socket. Via de Windows-tool, GetTickCount, creeert het willekeurige IP-adressen waarnaar het zich tracht te versturen.
VirusAlert spreekt over een medium-risk worm, categorie "gevaarlijk". Het manifesteert zich alleen op Microsoft SQL servers, een programma voor internetservers die met name gebruikt wordt in de zakelijke markt. Derhalve is er geen nieuwsbrief verstuurt! .
|
|
|
|
|
Herkenning van besmetting:
|
0) Bitdefender heeft een tool gemaakt waarmee eenvoudig het geheugen wordt ge-analyseerd op aanwezigheid van de worm, deze kunt u eenvoudig gratis downloaden, zie link onderin pagina.
1) Blokkeer extern verkeer richting poort 1434. Er gaan geruchten dat ook poort 1432 & 1433 gebruikt worden. Blokkeer deze ook preventief.
2) Installeer alle patches van Microsoft. (zie link hieronder).
Microsoft SQL 2000 waarop niet is geinstalleerd Service Pack 3 lopen gevaar.
Herkenning
A. Het datapakket wat wordt gestuurt naar poort 1434 bevat o.a. de regels:
-h.dllhel32hkernQhounthickChGetTf
-hws2
-Qhsockf
-toQhsend
B. De worm nestelt zich in het geheugen van de server en plaatst geen bestanden of registry-sleutels. Het wordt derhalve niet door AV-software gedetecteerd!! |
|
|
Verwijder instructies:
|
0. Blokkeer verkeer op poort 1432, 1433 & 1434
1. Start de server opnieuw op.
(Deze worm laat geen bestanden/registry keys achter, en zit alleen in het geheugen, opnieuw opstarten verwijderd de worm)
2. Ga naar onderstaande microsoft site en installeer alle security-updates.
(Service pack 2 & 3)
3. Start de server opnieuw op.
4. Het probleem moet nu zijn verholpen. Nieuwe infecties kunnen niet automatisch worden geeffectueerd. Derhalve kan ook de poortblokkade (zie punt 0) worden opgeheven.
|
|
Link:
|
Patches van Microsoft, MS SQL server
Bitdefender: gratis analyse tool voor SQLslammer. (zip-bestand)
VirusAlert.com De internationale versie van VirusAlert.
H2oevents.nl Op zoek naar een actief bedrijfsuitje?
MyAlert.nl (tip) Gratis opzegbrieven, abonnement beheer, kasboek en
|
| Advertentie: |
|
|
|
Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging. |
|
|
|
|
|
40
25/100