INVIA QUESTA NOTIZIA AD UN AMICO

Fonte Symantec
Nome Virus  

W32.SQLExp.Worm

 Rischio:  Alto
Tipo: Worm
Diffusione: Porta UDP 1434
Sistemi operativi attaccabili: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
Sistemi operativi immuni: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
Caratteristiche

W32.SQLExp.Worm è un worm che colpisce i sistemi con Microsoft SQL Server 2000, e Microsoft Data Engine (MSDE) 2000, inviando 376 byte alla porta UDP 1434, la porta del servizio SQL Server Resolution.

A causa del consistente numero di pacchetti inviati il worm provoca involontariamente un attacco Denial of Service.

Il Symantec Security Response consiglia caldamente a tutti gli utenti di Microsoft SQL Server 2000 o di MSDE 2000 di verificare l'eventuale presenza sulle proprie macchine delle vulnerabilità segnalate negli articoli Microsoft Security Bulletin MS02-039 e Microsoft Security Bulletin MS02-061.

Il Symantec Security Response consiglia inoltre le seguenti azioni:

  • Configurare le periferiche di sicurezza perimetrali per bloccare il traffico UDP in entrata sulla porta 1434 a host non autorizzati.
  • Bloccare il traffico in uscita dalla proprio rete sulla porta 1434.

Utilità di rimozione
Symantec mette a disposizione uno strumento per eliminare le infezioni causate da W32.SQLexp.Worm. Fare clic qui per scaricare l'utilità di rimozione. Trattandosi del metodo più semplice per eliminare il worm, consigliamo di procedere in primo luogo mediante questo strumento. Dal momento che il worm risiede nella memoria, ma non viene scritto su disco, non è possibile rilevarlo mediante le definizioni dei virus. Per fare fronte alla minaccia presentata da W32.SQLExp.Worm, si prega vivamente di seguire le istruzioni proposte nel documento.

Quando W32.SQLExp.Worm attacca un sistema vulnerabile, si comporta nel modo seguente:

  • Si invia sul servizio SQL Server Resolution della porta UDP 1434.
  • Sfrutta la vulnerabilità overflow del buffer, che gli consente di sovrascrivere una parte della memoria di sistema. In questo modo il worm esegue lo stesso contesto di sicurezza del servizio del server SQL.
  • Chima la funzione Windows API GetTickCount per generare indirizzi IP a caso.
  • Apre un ingresso sul computer infetto e tenta di inviarsi ripetutamente a tutti gli indirizzi IP generati sulla porta UDP 1434 utilizzando una porta sorgente a caso. Dal momento che il worm non sceglie gli host da attaccare nella subnet locale, provoca un grosso incremento del traffico.

CONSIGLI

Il Symantec Security Response raccomanda a tutti gli utenti informatici e amministratori di rete di attenersi alle seguenti linee guida elementari, basate sulle migliori pratiche di sicurezza.

  • Disattivare e rimuovere qualsiasi servizio non necessario. Per impostazione predefinita, molti sistemi operativi installano servizi ausiliari che non sono strettamente necessari al sistema stesso, quali client FTP, telnet e server Web. Tali servizi possono servire da accesso per eventuali attacchi. Se rimossi, le minacce composite dispongono di un numero inferiore di possibilità di accesso al sistema e al tempo stesso l'utente dispone di un numero inferiore di servizi da mantenere tramite moduli di aggiornamento.
  • Se una minaccia composita si avvale di uno o più servizi di rete è consigliabile disattivare o impedire l'accesso a tali servizi, fino a quando non venga applicato un modulo di aggiornamento.
  • Accertarsi di applicare sempre sul proprio sistema i moduli di aggiornamento più recenti, in particolare se si opera su macchine che mantengono servizi pubblici e cui è possibile accedere tramite firewall, quali http, FTP, posta elettronica e servizi DNS.
  • Imporre una politica severa sull'uso delle password. Password complesse rendono più difficoltoso l'accesso a file protetti su computer minacciati da un accesso illecito. In tal modo, anche in caso di computer attaccato illecitamente, i danni incorsi sono notevolmente limitati, se non del tutto prevenuti.
  • Configurare il proprio server di posta elettronica in modo che blocchi o elimini i messaggi contenenti file in allegato le cui estensioni vengono comunemente utilizzate per diffondere virus. Ad esempio: .vbs, .bat, .exe, .pif e .scr.
  • Isolare in tutta rapidità le macchine infette, per evitare la diffusione del danno ad altre macchine all'interno della propria organizzazione. Eseguire un'analisi approfondita e ripristinare le macchine mediante dispositivi fidati.
  • Operare una formazione del personale, istruendo i propri dipendenti a non aprire allegati se non si era a conoscenza del fatto che l'allegato in questione sarebbe stato inviato. Inoltre, non eseguire programmi scaricati da Internet senza prima operare una scansione antivirus. Anche semplicemente visitare un sito Internet compromesso può significare contrarre un'infezione, se non sono stati applicati moduli di aggiornamento appositi per determinate vulnerabilità del browser.

 

 




Ricordiamo di prestare sempre la massima cautela nell'aprire file allegati alle e-mail della cui origine non si sia certi e di esercitare la massima prudenza anche in presenza di  allegati provenienti da conoscenti, ma che non erano attesi.

Alias
SQLP1434.A, W32/SQLSlammer, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A
Maggiori informazioni e rimozione

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649

http://www.cert.org/advisories/CA-2002-22.html

http://online.securityfocus.com/bid/5310

http://online.securityfocus.com/bid/5311

http://www.microsoft.com/technet/security/bulletin/ms02-039.asp

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml


28 Gennaio  2003

 

 

 
dot_ltblue.gif (41 byte)