CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Net-Worm.Win32.Slammer

Classe Net-Worm
Plateforme Win32
Description

Détails techniques

Helkern (aka Helkern, alias Sapphire) est un ver Internet extrêmement petit (seulement 376 octets) qui affecte Microsoft SQL Server 2000. Pour entrer dans les machines victimes, le ver exploite une vulnérabilité de saturation de mémoire tampon (voir ci-dessous).

Lorsque le code du ver pénètre dans un serveur SQL vulnérable, il prend le contrôle (en utilisant une astuce de saturation de la mémoire tampon), il assume alors trois fonctions de l'API Win32:

GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)

Le ver obtient alors un compteur aléatoire en utilisant la fonction GetTickCount et entre dans une boucle d'épandage sans fin ou "spawning". Dans la boucle d'étalement, le ver s'envoie vers des adresses IP aléatoires (en fonction du compteur aléatoire), vers le port MS SQL 1434.

Le ver envoie des paquets de multidiffusion, ce qui signifie qu'avec une seule commande "send", toutes les 255 machines d'un sous-réseau sont touchées. En conséquence, ce ver se propage 255 fois plus vite que tout autre ver connu pour le moment.

Parce que les serveurs MS SQL sont souvent utilisés sur le Web, ce ver peut provoquer une attaque INet DoS globale, car tous les serveurs infectés tenteront de se connecter à d'autres machines sélectionnées au hasard dans une boucle sans fin – ce qui provoquera un débordement de trafic INet global.

Le ver est de la mémoire seulement, et il se propage de la mémoire d'une machine infectée à la mémoire d'une machine victime. Le ver ne supprime aucun fichier supplémentaire et ne se manifeste d'aucune façon.

Il y a des chaînes de texte visibles dans le code du ver (un mélange de code de ver et de données):

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
tohhsend

Débordement de tampon

Cet exploit de dépassement de tampon a le nom suivant:
Compromis à distance non authentifié dans MS SQL Server 2000

Les systèmes affectés sont:
Microsoft SQL Server 2000, tous les Service Packs

Cette faille de sécurité a été découverte en juillet 2002 et a ensuite été corrigée dans des correctifs "MS SQL Server 2000".

Vous pouvez en lire plus à ce sujet aux adresses suivantes:
Bulletin de sécurité Microsoft MS02-039
NGSSoftware Insight Security – Avis de recherche

Le correctif pour MS SQL Server 2000 est disponible à l' adresse suivante : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602


Lien vers l'original