|
| |
SQLP1434.A,
W32/SQLSlammer, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A
Wirus atakuje systemy z Microsoft SQL Server
2000 (bez Service Pack 3). Dotknięte nim serwery SQL rozpowszechniają
pakiety z kodem wirusa wśród innych serwerów SQL powodując błędy w ich
działaniu:
- Przepełnienie bufora (Buffer Overflow) w
serwerach SQL 2000
Wirus wykorzystuje błąd serwera
SQL, który umożliwia nieustanne wykonywanie kodu wirusa
- Denial of Service
nieustanne wysyłanie danych do zaatakowanego serwera powoduje spowolnienie
jego pracy lub nawet zatrzymanie. Szczególnie niebezpieczne jest
wygenerowanie adresu IP zbieżnego z adresem rozgłoszeniowym sieci.
Powoduje to masowe rozesłanie kodu wirusa do wszystkich węzłów sieci
Kod wirusa rezyduje wyłącznie w pamięci zarażonych
serwerów, przez co nie jest wykrywany przez tradycyjne skanery antywirusowe
(te, które nie skanują zawartości pamięci). Zawiera łańcuchy tekstowe z
następującą zawartością:
- kernel32.dll
- GetTickCount
- ws2_32.dll
- socket
- sendto
Wirus nie pozostawia żadnych plików, nie
korzysta także z mechanizmów poczty email.
Na atak narażone są także maszyny z zainstalowanym Microsoft SQL Server 2000
Desktop Engine (MSDE), działające na platformach:
- Windows 98
- Windows ME
- Windows NT 4.0
- Windows 2000 Professional
Jak usunąć ?
- Użytkownicy oprogramowania Trend Micro:
Należy ściągnąć Trend
Micro System Cleaner Patch
Zastąpić ściągniętym plikiem TSC.EXE ten, który znajduje się w
folderze używanego programu, np.dla OfficeScan 5.02 jest to
C:\OfficeScanNT, dla PC-cillin 2002 jest to C:\Program Files\Trend
Micro\PC-cillin 2002.
- Pozostali:
Ściągnąć i uruchomić program Trend Micro System
Cleaner Package.
Producent zaleca, aby uprzednio zapoznać się z informacjami zawartymi w
pliku readme.txt. Pliki do pobrania z serwera
ftp
Więcej informacji można znaleźć w publikacji firmy Microsoft: Jak
zabezpieczyć zasoby przed atakiem wirusa Slammer.
| |
|
