Italia
 Siti Globali
Prodotti
Acquisto
Servizio e Supporto
Partner
Security Response
Downloads
Informazioni sulla Symantec
Ricerca
Feedback


©1995-2008 Symantec Corporation.
All rights reserved.

Legal Notices
Privacy Policy
aggiornamenti di sicurezza

W32.SQLExp.Worm

Categoria 2
Scoperto in data: 24/01/2003
Ultimo aggiornamento in data: 26/10/2004


W32.SQLExp.Worm è un worm che colpisce i sistemi con Microsoft SQL Server 2000, e Microsoft Data Engine (MSDE) 2000, inviando 376 byte alla porta UDP 1434, la porta del servizio SQL Server Resolution.

A causa del consistente numero di pacchetti inviati il worm provoca involontariamente un attacco Denial of Service.

Il Symantec Security Response consiglia caldamente tutti gli utenti di Microsoft SQL Server 2000 o di MSDE 2000 di verificare l'eventuale presenza sulle proprie macchine delle vulnerabilità segnalate negli articoli Microsoft Security Bulletin MS02-039 e Microsoft Security Bulletin MS02-061.

Il Symantec Security Response consiglia inoltre le seguenti azioni:

  • Configurare le periferiche di sicurezza perimetrali per bloccare il traffico UDP in entrata sulla porta 1434 a host non autorizzati.
  • Bloccare il traffico in uscita dalla proprio rete sulla porta 1434.

Utilità di rimozione
Symantec mette a disposizione uno strumento per eliminare le infezioni causate da W32.SQLexp.Worm. Fare clic qui per scaricare l’utilità di rimozione. Trattandosi del metodo più semplice per eliminare il worm, consigliamo di procedere in primo luogo mediante questo strumento. Dal momento che il worm risiede nella memoria, ma non viene scritto su disco, non è possibile rilevarlo mediante le definizioni dei virus. Per fare fronte alla minaccia presentata da W32.SQLExp.Worm, si prega vivamente di seguire le istruzioni proposte nel documento.

Per consentire ai prodotti symantec di rilevare tale minaccia, è necessario configurarli seguendo le indicazioni contenute nella sezione informazioni tecniche proposta di seguito.		  

Noto anche come: SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]
Tipo: worm
Lunghezza dell’infezione: 376 byte
Sistemi operativi minacciati: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemi operativi non minacciati: DOS, Linux, Macintosh, Novell Netware, OS/2, UNIX, Windows 3.x
Riferimenti CVE: CAN-2002-0649

valutazione della minaccia

Wild

Grafico della minaccia
Bassa Bassa Media

Wild:
Bassa

Danno:
Bassa

Distribuzione:
Media

Danno

Distribuzione

  • Porte: Porta UDP 1434. Il worm invia ripetutamente volumi di traffico ad indirizzi IP da esso generati, e tenta di inviarsi ad host sul servizio Microsoft SQL Server Resolution, mettendosi in ascolto di questa specifica porta.

informazioni tecniche

Quando W32.SQLExp.Worm attacca un sistema vulnerabile, si comporta nel modo seguente:

  • Si invia sul servizio SQL Server Resolution della porta UDP 1434.
  • Sfrutta la vulnerabilità overflow del buffer, che gli consente di sovrascrivere una parte della memoria di sistema. In questo modo il worm esegue lo stesso contesto di sicurezza del servizio del server SQL.
  • Chima la funzione Windows API GetTickCount per generare indirizzi IP a caso.
  • Apre un ingresso sul computer infetto e tenta di inviarsi ripetutamente a tutti gli indirizzi IP generati sulla porta UDP 1434 utilizzando una porta sorgente a caso. Dal momento che il worm non sceglie gli host da attaccare nella subnet locale, provoca un grosso incremento del traffico.
W32.SQLExp.Worm SQL Server Worm Analysis
Deepsight™ Threat Management System Threat Analysis

Per ulteriori informazioni sulla vulnerabilità sfruttata dal worm, consultare l'articolo:
http://securityresponse.symantec.com/avcenter/security/Content/2270.html.

Symantec Gateway Security
Symantec ha pubblicato aggiornamenti per Symantec Gateway Security scaricabili mediante LiveUpdate. Per ulteriori informazioni su come bloccare il worm W32.SQLExp.Worm dal traffico ingresso con Symantec Gateway Security, fare clic qui.

Enterprise Security Manager
Symantec ha reso disponibile una politica Enterprise Security Manager per combattere questa minaccia. Fare clic qui per ulteriori informazioni.

Intruder Alert
Symantec ha reso disponibile una politica di integrazione di Intruder Alert 3.5/3.6 per NetProwler 3.5x. Fare clic qui per ulteriori informazioni.

NetProwler
Symantec ha reso disponibile l'aggiornamento di sicurezza 22 per NetProwler 3.5.1, in grado di rilevare W32.SQLExp.Worm. Fare clic qui per ulteriori informazioni.

Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall
Fare clic qui per istruzioni su come bloccare W32.SQLExp.Worm dal traffico in entrata mediante i prodotti Symantec Enterprise Firewall, VelociRaptor e Raptor.

ManHunt
La tecnologia Protocol Anomaly Detection di ManHunt rileva il traffico UDP generato dal worm. Symantec invita gli utenti ManHunt ad attivare la funzione HYBRID MODE e ad applicare la seguente regola personalizzata per rilevare e riconoscere con precisione la presenza di W32.SQLExp.Worm.

*******************inizio file********************

#
#Variables need to be set dependent on the users network. Below are examples on how to set
# variable. For more information see ManHunt Administrative Guide: Appendix A.
#
#var EXTERNAL_NET 192.168.1.0/24
#
#
#
var EXTERNAL_NET any
var HOME_NET any
#
#
#
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 64 6C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;)

*************fine file********************

Per altre informazioni su come creare signature personalizzate fare riferimento alla "Administrative Guide : Appendix A Custom Signatures for HYBRID Mode" di ManHunt.

recommendations

Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

  • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l’utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
  • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l’accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
  • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
  • Imporre una politica severa sull’uso delle password. Password complesse rendono più difficoltoso l’accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
  • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
  • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all’interno della propria organizzazione. Eseguire un’analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
  • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l’allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un’infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.
istruzioni sulla rimozione


Utilità di rimozione
Symantec mette a disposizione uno strumento per eliminare le infezioni causate da W32.SQLexp.Worm. Fare clic qui per scaricare l’utilità di rimozione. Trattandosi del metodo più semplice per eliminare il worm, consigliamo di procedere in primo luogo mediante questo strumento. Dal momento che il worm risiede nella memoria, ma non viene scritto su disco, non è possibile rilevarlo mediante le definizioni dei virus. Per fare fronte alla minaccia presentata da W32.SQLExp.Worm, si prega vivamente di seguire le istruzioni proposte nel documento.

Informazioni aggiuntive:


http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649

http://www.cert.org/advisories/CA-2002-22.html

http://online.securityfocus.com/bid/5310

http://online.securityfocus.com/bid/5311

http://www.microsoft.com/technet/security/bulletin/ms02-039.asp

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml

Revisioni:

6-06-2004: Declassato dalla categoria 3 alla categoria 2 in seguito alla diminuzione dell'attività.


Versione del documento in inglese

Fare clic qui per visualizzare la versione inglese di questo documento

NOTA: a causa del tempo richiesto per portare a termine la traduzione di un documento in altre lingue, il contenuto delle versioni tradotte potrebbe differire da quello del documento originale in lingua inglese. Ciò si verifica quando il documento inglese viene aggiornato durante il processo di traduzione. Si prega di notare che il documento in lingua inglese contiene sempre le informazioni più aggiornate.


Documento realizzato da: Douglas Knowles