《W32.SQLExp.Worm》是一款Worm,支持376 bytes。
基本介紹
- 中文名:W32.SQLExp.Worm
- 發現: 2003 年 1 月 24 日
- 類型:Wom
- 感染長度:376 bytes
概述,防毒工具,威脅評估,廣度,損壞,分發,建議,
概述
發現: 2003 年 1 月 24 日
: 2007 年 2 月 13 日 11:48:11 AM
別名: SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]
類型: Worm
感染長度: 376 bytes
受感染的系統: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
CVE 參考: CAN-2002-0649
W32.SQLExp.Worm 的攻擊是針對 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的。該蠕蟲傳送長度為376位元組的包到 UDP 1434 連線埠,即 SQL 伺服器的解析服務連線埠。
賽門鐵克安全回響強烈建議 Microsoft SQL Server 2000 或 MSDE 2000 的用戶根據 Microsoft Security Bulletin MS02-039 和 Microsoft Security Bulletin MS02-061 審核機器的安全漏洞。
賽門鐵克安全回響還建議:
* 對不知名的機器關閉1434連線埠。
* 不傳送以1434連線埠為目的地的 UDP 包。
防毒工具
Symantec 提供了殺除 W32.SQLExp.Worm 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法,應首先嘗試此方法。因為該蠕蟲是記憶體駐留型程式而非寫入硬碟,此威脅不能通過病毒定義查找。建議客戶依照本文描述的特徵來檢查該威脅。
請依照下面的技術詳細說明部分設定賽門鐵克防毒產品偵測威脅。
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: High
* 威脅抑制: Easy
* 清除: Easy
損壞
* 損壞級別: Low
* 降低性能: May affect network availability
分發
* 分發級別: Medium
* 連線埠: UDP port 1434. The worm continuously sends traffic to randomly generated IP addresses, attempting to send itself to hosts running the Microsoft SQL Server Resolution Service, and that, therefore listens on that particular port.
W32.SQLExp.Worm 侵害一個有安全漏洞的系統時將執行以下操作:
o 將自己傳送到負責在 UDP 1434 連線埠監聽的 SQL 伺服器解析服務(SQL Server Resolution Service)。
o 調用 Windows 的 API 功能 GetTickCount 隨機生成 IP 地址。
o 在受感染的機器上建立一個“socket”,使用一個臨時連線埠將自己重複得從隨機生成的 IP 地址傳送給UDP 1434 連線埠。 因為蠕蟲不選擇攻擊網路中特定的主機,它運行的直接後果是巨大的通信流量。
更多技術描述信息,請參閱下面的連結(英文,PDF 格式):
W32.SQLExp.Worm SQL Server Worm Analysis
Deepsight™ Threat Management System Threat Analysis
Symantec Gateway Security
賽門鐵克已經就該威脅通過 LiveUpdate 發布了 Symantec Gateway Security 更新。請單擊此處了解更多關於如何使用該產品限制 W32.SQLExp.Worm 導致的網路通信入侵。
Enterprise Security Manager
賽門鐵克已經就該威脅發布了 Enterprise Security Manager 策略。有關詳細信息,請單擊此處。
入侵警報
賽門鐵克已經為 NetProwler 3.5x 發布了 3.5/3.6 入侵警報集成策略。有關詳細信息,請單擊此處。
NetProwler
賽門鐵克已經為 NetProwler 3.5.1 發布了第22安全更新程式用以偵測 W32.SQLExp.Worm。有關詳細信息,請單擊此處。
Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall
單擊此處了解如何使用賽門鐵克的 Enterprise Firewall,VelociRaptor 和 Raptor 產品來限制 W32.SQLExp.Worm 導致的網路通信入侵。
賽門鐵克 ManHunt
Symantec ManHunt Protocol Anomaly Detection 技術將該威脅產生的通信流量稱為“UDP 泛濫”。賽門鐵克建議 Symantec ManHunt 用戶激活“HYBRID MODE ”功能然後使用下列規則:
*******************start file********************
#
#Variables need to be set dependent on the users network. Below are examples on how to set
# variable. For more information see ManHunt Administrative Guide: Appendix A.
#
#var EXTERNAL_NET 192.168.1.0/24
#
#
#
var EXTERNAL_NET any
var HOME_NET any
#
#
#
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 64 6C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;)
*************EOF*********************
更多關於如何創建用戶簽名的幫助,請參照 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
Removal Tool
Symantec has provided a tool to remove infections of W32.SQLexp.Worm. Click here to obtain the tool. This is the easiest way to remove this threat and should be tried first. Because the worm is only resident in memory, and is not written to disk, this threat is not detectable using virus definitions. Customers are recommended to follow the measures described in this document in order to deal with this threat.
描述者: Douglas Knowles
