Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).

Червь имеет крайне небольшой размер — всего 376 байт.

Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).

При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)

Затем червь в бесконечном цикле посылает свой код (командой «sendto») на случайно выбранные адреса в сети (при этом использует случайные данные от команды «GetTickCount»).

Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети — и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend

Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

Remote Buffer Overrun Vulnerability

Название конкретной применяемой атаки:

Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.

Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
(Microsoft Security Bulletin MS02-039)

и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt

Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.

Узнай статистику распространения угроз в твоем регионе

Класс	Net-Worm
Платформа	Win32
Описание	Technical Details Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS SQL (см. ниже). Червь имеет крайне небольшой размер — всего 376 байт. Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера). При активизации на заражаемом компьютере червь получает адреса трёх функций Windows: GetTickCount (KERNEL32.DLL) socket, sendto (WS2_32.DLL) Затем червь в бесконечном цикле посылает свой код (командой «sendto») на случайно выбранные адреса в сети (при этом использует случайные данные от команды «GetTickCount»). Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети — и, следовательно, сильно увеличивают сетевой трафик. В коде червя видны строки: h.dllhel32hkernQhounthickChGet Qh32.dhws2_f etQhsockf toQhsend Реализация атаки Для реализации атаки на сервера используется одна из ошибок в защите IIS типа: Remote Buffer Overrun Vulnerability Название конкретной применяемой атаки: Unauthenticated Remote Compromise in MS SQL Server 2000 Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к MS SQL Server 2000. Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp (Microsoft Security Bulletin MS02-039) и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602 Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.
	Узнай статистику распространения угроз в твоем регионе

Net-Worm.Win32.Slammer

Technical Details