W32.SQLExp.Worm

發現： 2003 年 1 月 24 日

： 2007 年 2 月 13 日 11:48:11 AM

別名： SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]

類型: Worm

感染長度： 376 bytes

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

CVE 參考： CAN-2002-0649

W32.SQLExp.Worm 的攻擊是針對 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的。該蠕蟲發送長度為376字節的包到 UDP 1434 端口，即 SQL 服務器的解析服務端口。

因為發送大量的數據包，該蠕蟲也會導致具有“拒絕服務”（DoS）效果的攻擊。

賽門鐵克安全響應強烈建議 Microsoft SQL Server 2000 或 MSDE 2000 的用户根據 Microsoft Security Bulletin MS02-039 和 Microsoft Security Bulletin MS02-061 審核機器的安全漏洞。

賽門鐵克安全響應還建議：

* 對不知名的機器關閉1434端口。

* 不發送以1434端口為目的地的 UDP 包。

Symantec 提供了殺除 W32.SQLExp.Worm 的工具。單擊此處可獲得該工具。這是消除此威脅最簡便的方法，應首先嚐試此方法。因為該蠕蟲是內存駐留型程序而非寫入硬盤，此威脅不能通過病毒定義查找。建議客户依照本文描述的特徵來檢查該威脅。

請依照下面的技術詳細説明部分設置賽門鐵克防毒產品偵測威脅。

* 廣度級別： Low

* 感染數量： More than 1000

* 站點數量： More than 10

* 地理位置分佈： High

* 威脅抑制： Easy

* 清除： Easy

* 損壞級別： Low

* 降低性能： May affect network availability

* 分發級別： Medium

* 端口： UDP port 1434. The worm continuously sends traffic to randomly generated IP addresses, attempting to send itself to hosts running the Microsoft SQL Server Resolution Service, and that, therefore listens on that particular port.

W32.SQLExp.Worm 侵害一個有安全漏洞的系統時將執行以下操作：

o 將自己發送到負責在 UDP 1434 端口監聽的 SQL 服務器解析服務（SQL Server Resolution Service）。

o 利用“緩存區溢出導致部分系統內存被覆蓋”這一安全漏洞。這樣一來蠕蟲就可以擁有一般 SQL 服務器服務所擁有的安全權限。

o 調用 Windows 的 API 功能 GetTickCount 隨機生成 IP 地址。

o 在受感染的機器上建立一個“socket”，使用一個臨時端口將自己重複得從隨機生成的 IP 地址發送給UDP 1434 端口。 因為蠕蟲不選擇攻擊網絡中特定的主機，它運行的直接後果是巨大的通信流量。

更多技術描述信息，請參閲下面的鏈接（英文，PDF 格式）：

W32.SQLExp.Worm SQL Server Worm Analysis

Deepsight™ Threat Management System Threat Analysis

Symantec Gateway Security

賽門鐵克已經就該威脅通過 LiveUpdate 發佈了 Symantec Gateway Security 更新。請單擊此處瞭解更多關於如何使用該產品限制 W32.SQLExp.Worm 導致的網絡通信入侵。

Enterprise Security Manager

賽門鐵克已經就該威脅發佈了 Enterprise Security Manager 策略。有關詳細信息，請單擊此處。

入侵警報

賽門鐵克已經為 NetProwler 3.5x 發佈了 3.5/3.6 入侵警報集成策略。有關詳細信息，請單擊此處。

NetProwler

賽門鐵克已經為 NetProwler 3.5.1 發佈了第22安全更新程序用以偵測 W32.SQLExp.Worm。有關詳細信息，請單擊此處。

Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall

單擊此處瞭解如何使用賽門鐵克的 Enterprise Firewall，VelociRaptor 和 Raptor 產品來限制 W32.SQLExp.Worm 導致的網絡通信入侵。

賽門鐵克 ManHunt

Symantec ManHunt Protocol Anomaly Detection 技術將該威脅產生的通信流量稱為“UDP 氾濫”。賽門鐵克建議 Symantec ManHunt 用户激活“HYBRID MODE ”功能然後使用下列規則：

*******************start file********************

#

#Variables need to be set dependent on the users network. Below are examples on how to set

# variable. For more information see ManHunt Administrative Guide: Appendix A.

#

#var EXTERNAL_NET 192.168.1.0/24

#

#

#

var EXTERNAL_NET any

var HOME_NET any

#

#

#

alert udp $EXTERNAL_NET any→$HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 64 6C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;)

*************EOF*********************

更多關於如何創建用户簽名的幫助，請參照 "Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode."。

賽門鐵克安全響應中心建議所有用户和管理員遵循以下基本安全“最佳實踐”：

* 禁用並刪除不需要的服務。 默認情況下，許多操作系統會安裝不必要的輔助服務，如 FTP 服務器、telnet 和 Web 服務器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除，混合型威脅的攻擊途徑會大為減少，同時您的維護工作也會減少，只通過補丁程序更新即可完成。

* 如果混合型威脅攻擊了一個或多個網絡服務，則在應用補丁程序之前，請禁用或禁止訪問這些服務。

* 始終安裝最新的補丁程序，尤其是那些提供公共服務而且可以通過防火牆訪問的計算機，如 HTTP、FTP、郵件和 DNS 服務（例如，所有基於 Windows 的計算機上都應該安裝最新的 Service Pack）。. 另外，對於本文中、可靠的安全公告或供應商網站上公佈的安全更新，也要及時應用。

* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼文件難以破解。這樣會在計算機被感染時防止或減輕造成的損害。

* 配置電子郵件服務器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附件的郵件，這些文件常用於傳播病毒。

* 迅速隔離受感染的計算機，防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。

* 教育員工不要打開意外收到的附件。 並且只在進行病毒掃描後才執行從互聯網下載的軟件。如果未對某些瀏覽器漏洞應用補丁程序，那麼訪問受感染的網站也會造成病毒感染。

Removal Tool

Symantec has provided a tool to remove infections of W32.SQLexp.Worm. Click here to obtain the tool. This is the easiest way to remove this threat and should be tried first. Because the worm is only resident in memory, and is not written to disk, this threat is not detectable using virus definitions. Customers are recommended to follow the measures described in this document in order to deal with this threat.

描述者： Douglas Knowles