本サービスには一部、Googleの支援により翻訳されたコンテンツが含まれます。Googleは、明示または黙示を問わず、市場性、特定目的への適合性、ならびに非侵害の黙示的保証を含む、翻訳の精度、信頼性、正確性に関連するあらゆる点において保証しません。

Kaspersky Labの本Webサイトは、便宜上、Google Translateを搭載した翻訳ソフトウェアを利用して翻訳されています。正確な翻訳となるよう合理的な努力を払ってはおりますが、自動翻訳の正確性は完全ではなく、翻訳者(人間)による翻訳に代わるものとして意図されているものでもありません。翻訳はKaspersky Labの本Webサイトをご利用の皆様の利便性を図るためのものであり、「翻訳結果をそのまま」ご提供するものです。英語からその他言語への翻訳における精度、信頼性、正確性に関しては、明示または黙示を問わず、いかなる保証もなされません。翻訳ソフトウェアのため、コンテンツの一部(画像、動画、フラッシュ等)は正しく翻訳されない場合があります。

Net-Worm.Win32.Slammer

クラス Net-Worm
プラットフォーム Win32
説明

技術的な詳細

Helkern (別名Helkern、別名Sapphire)は、Microsoft SQL Server 2000に影響を及ぼす非常に小さい(わずか376バイト)インターネットワームです。犠牲PCに侵入するために、ワームはバッファオーバーランの脆弱性を悪用します。

ワームコードが脆弱なSQLサーバーに侵入すると、バッファオーバーラントリックを使用して制御され、3つのWin32 API関数が使用されます。

GetTickCount(KERNEL32.DLL)
ソケット、sendto(WS2_32.DLL)

ワームは、GetTickCount関数を使用してランダムなカウンタを取得し、無限に拡散または「発生する」ループに入ります。拡散ループでは、ワームは、(ランダムカウンタに応じて)ランダムなIPアドレスをMS SQLポート1434に送信します。

ワームはマルチキャストパケットを送信します。つまり、1つの "send"コマンドだけがサブネット内の255台のマシンすべてにヒットします。結果として、このワームは、現在知られている他のどのワームよりも255倍速く広がっています。

MS SQLサーバはWeb上で頻繁に使用されるため、このワームはグローバルなINet DoS攻撃を引き起こす可能性があります。感染したすべてのサーバが無作為に選択された他のマシンに接続しようとするため、グローバルなINetトラフィックがオーバーフローします。

ワームはメモリだけで、感染したマシンのメモリから被害者のマシンのメモリに広がります。このワームは、追加ファイルを一切削除せず、いかなる形でも現れません。

ワームコード(ワームコードとデータが混在している)に表示されるテキスト文字列があります。

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend

バッファオーバーフロー

このバッファオーバーランエクスプロイトには、次の名前があります。
MS SQL Server 2000での認証されていないリモート侵害

影響を受けるシステムは次のとおりです。
Microsoft SQL Server 2000、すべてのサービスパック

このセキュリティ侵害は2002年7月に発見され、後に「MS SQL Server 2000」パッチで修正されました。

詳細については、次のアドレスでお読みください:
マイクロソフトセキュリティ情報MS02-039
NGSSoftware Insight Security Research Advisory

MS SQL Server 2000用のパッチは、次のサイトから入手できます。http : //www.microsoft.com/Downloads/Release.asp?ReleaseID=40602


オリジナルへのリンク