Класс | Net-Worm |
Платформа | Win32 |
Описание |
Technical DetailsИнтернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS Червь имеет крайне небольшой размер — всего 376 байт. Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).
GetTickCount (KERNEL32.DLL) Затем червь в бесконечном цикле посылает свой код (командой «sendto») на случайно выбранные адреса в сети (при этом использует случайные данные от команды «GetTickCount»). Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети — и, следовательно, сильно увеличивают сетевой трафик. В коде червя видны строки: h.dllhel32hkernQhounthickChGet
Реализация атаки Remote Buffer Overrun Vulnerability Название конкретной применяемой атаки: Unauthenticated Remote Compromise in MS SQL Server 2000 Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt
Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта. |
Узнай статистику распространения угроз в твоем регионе |