Net-Worm.Win32.Slammer

Класс Net-Worm
Платформа Win32
Описание

Technical Details

Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
SQL (см. ниже).


Червь имеет крайне небольшой размер — всего 376 байт.


Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).



При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:


 GetTickCount    (KERNEL32.DLL)
 socket, sendto  (WS2_32.DLL)


Затем червь в бесконечном цикле посылает свой код (командой «sendto») на случайно выбранные адреса в сети (при этом использует случайные данные от команды «GetTickCount»).


Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети — и, следовательно, сильно увеличивают сетевой трафик.


В коде червя видны строки:


 h.dllhel32hkernQhounthickChGet
 Qh32.dhws2_f
 etQhsockf
 toQhsend


 


Реализация атаки

Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:


  Remote Buffer Overrun Vulnerability


Название конкретной применяемой атаки:


  Unauthenticated Remote Compromise in MS SQL Server 2000


Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
MS SQL Server 2000.


Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
 (Microsoft Security Bulletin MS02-039)


и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt



Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
 http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602


Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.