Характеристика вируса:
Для данного червя установлен специальный уровень риска – «высокий для незащищенных систем» (оказывает влияние только на серверы SQL без установленного SP3):
- Microsoft SQL Server 2000
- Microsoft Desktop Engine (MSDE) 2000
Вирус существует только в памяти серверов Microsoft SQL без установленного SP3. Целью вируса является распространение от системы к системе, вирус не содержит никакой специальной деструктивной функции.
Вирус распространяется между серверами SQL и является причиной роста UDP-трафика порта 1434. Высокий уровень сетевого трафика, создаваемого данным вирусом, может оказывать влияние на сетевую производительность всех систем сети.
Червь использует переполнение буфера в сервисе "Server Resolution" (более подробно об этой уязвимости см. MS02-39 и CVE list) для получения контроля над сервером. Серверы SQL с установленным SP3 не имеют данной уязвимости.
Специальным образом сформированный пакет имеет длину всего 376 байт (это размер всего червя!) и содержит следующие строки: «h.dllhel32hkernQhounthickChGetTf», «hws2», «Qhsockf» и «toQhsend».
Симптомы
Необычно высокий уровень трафика от зараженных систем на порт UDP 1434, как показано на приведенном ниже изображении Sniffer Matrix View.
Червь не существует как файл в системе. Не создается никаких записей в INI или реестре.
Контрольная сумма MD5 червя (376 байт): A0AA4A74B70CBCA5A03960DF1A3DC878.
Метод заражения
Тело червя начинается с байта 04 (за которым следует большое количество повторов 01) и, будучи полученным монитором SQL Monitor, создает длинную запись в реестре (HKLM\Software\Microsoft\Microsoft SQL Server\.....\MSSQLServer\CurrentVersion) переполняющую буфер (точки в данной записи заменяют ветвь реестра, к которой пытается получить доступ SQL Monitor – для червя SQLSlammer.worm это длинная серия из символов 01). Это позволяет перезаписать адрес возврата из стека, и таким образом червь получает контроль с привилегиями SQL Monitor.
Как только червь получает контроль, он загружает WS2_32.DLL и начинает в бесконечном цикле отсылать свою копию на порт 1434/udp случайно выбранного IP-адреса. IP-адрес жертвы генерируется с использованием «GetTickCount» API и является случайным. Эта стратегия распространения приводит к возникновению высокого уровня сетевого трафика. Червь существует только в памяти и не изменяет никаких локальных файлов.
Инструкции по удалению
AVERT рекомендует следующие действия:
- Заблокировать входящий трафик UDP 1434 на брандмауэре
- Загрузить и установить Service Pack 3 с сайта Microsoft, перегрузить сервер. Это удалит вирус из памяти и предотвратит повторное заражение.
Также AVERT предлагает использовать новую версию Stinger, предназначенную для обнаружения червя в памяти зараженных серверов SQL и остановки SQL-процессов. Stinger должен быть запущен на выполнение с правами администратора. Он не сможет защитить от возникновения повторного заражения, пока вышеуказанный Service Pack не будет установлен.
Пользователям Sniffer: Для обнаружения трафика червя W32/SQLSlammer.worm с помощью Sniffer доступен специальный фильтр.
Пользователям McAfee ThreatScan: Выпущено специальное обновление для продукта ThreatScan, позволяющее обнаруживать уязвимые серверы Microsoft SQL 2000. Для обновления ThreatScan запустите консольную утилиту обновления на сервере ePO (не на консоли ePO). Затем создайте задачу обновления для всех агентов ThreatScan.
После успешного обновления создайте новую задачу типа «Threat Scan». Перейдите в категорию «Remote Vulnerability Detection» и выберите «SQL Slammer Worm Vulnerability Check» на вкладке опций сканирования. При выполнении данной задачи будет создан отчет, содержащий список всех серверов SQL без установленного SP3.
Пользователям McAfee Desktop Firewall: Если вы используете McAfee Desktop
Firewall на своих серверах SQL, то вам достаточно просто создать правило для блокировки входящего трафика UDP, порт 1434.
Возможные названия
DDOS_SQLP1434.A (Trend)
Sapphire (F-Secure, eEye)
W32.SQLExp.Worm (Symantec)
