SQLSlammer un virus qui cible uniquement les
serveurs Microsoft SQL Server 2000. Il se présente sous
la forme d'un paquet de données de 376 octets à
destination du port 1434 UDP. Si le serveur n'est pas à
jour dans ses correctifs, le ver l'infecte puis scanne abondament
le réseau à la recherche de nouveaux serveurs
vulnérables, d'où une forte consommation de bande
passante et un accès difficile voire impossible à
certains sites web.
PREVENTION :
Les administrateurs de serveurs Microsoft SQL Server
2000 doivent s'assurer avoir appliqué le correctif
concerné (Q323875) ou le Service
Pack 3. Les utilisateurs ne sont pas directement
concernés par cette alerte. Certains sites peuvent
cependant être temporairement difficiles d'accès
et les firewalls personnels peuvent indiquer une forte
activité sur le port 1434.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus afin d'empêcher toute réinfection
de l'ordinateur par le virus. Le ver étant présent
uniquement en mémoire, il suffit d'installer
le correctif et de redémarrer le serveur infecté
pour éliminer le virus. Il est aussi possible
d'utiliser l'utilitaire
FixSQLex pour rechercher et éliminer le virus,
mais l'application du correctif reste indispensable.
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Microsoft SQL Server 2000
Microsoft Desktop Engine 2000
ALIAS :
Sapphire (F-Secure)
Worm.SQL.Helkern (Kaspersky)
W32/SQLSlammer.worm (Mc Afee)
W32/SQLSlam-A (Sophos)
W32.SQLExp.Worm (Symantec)
WORM_SQLP1434.A (Trend Micro)
TAILLE :
376 octets
DECOUVERTE :
25/01/2003
DESCRIPTION DETAILLEE :
Le ver SQLSlammer exploite une faille de type buffer overflow
déjà ancienne pour infecter les serveurs non
à jour dans leurs correctifs via une requête
malformée. Il est présent uniquement en mémoire,
n'est pas destructif et ne peut pas infecter le poste de travail
d'un simple utilisateur.
Dans la journée du samedi 25/01/03, l'activité
maximale du ver a entraîné un peu partout dans
le monde une consommation anormalement élevée
de bande passante, rendant ponctuellement difficile voire
impossible l'accès à certains sites web ou l'utilisation
de certains services utilisant internet.
Ces perturbations sont également à l'origine
d'une rumeur faisant état d'une attaque DoS coordonnée
par plusieurs groupes de pirates. Pour plus de rensignements
sur ce qui s'est réellement passé, voir la revue
de presse.
La majorité des serveurs non à jour dans leurs
correctifs lors de l'apparition du virus ayant été
patchés, même si des variantes ou de nouveaux
virus utilisant la même faille apparaissent, leurs effets
sur le trafic resteront limités.
L'activité du virus durera cependant jusqu'à
ce que tous les serveurs vulnérables soient mis à
jour, ce qui pourra prendre potentiellement très longtemps
en fonction de diligence des administrateurs concernés.
Ces derniers doivent donc impérativement appliquer
le correctif de sécurité, d'autant qu'une variante
destructive du virus pourrait entraîner des pertes de
données en plus d'une perturbation localisée
du trafic réseau.
INFORMATIONS COMPLEMENTAIRES :
-> Utilitaires
Microsoft SQL Server 2000 (Scan, Check, Critical Update)
-> Analyse
détaillée du ver par Symantec (PDF en anglais)
-> Dossier
Secuser.com sur les virus
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
|