╚erv Win32/SQLSlammer
╧alÜie nßzvy: W32.SQLExp.Worm, Worm.SQL.Helkern
TechnickΘ detaily:
╚erv je schopn² napadn·¥ len poΦφtaΦe na ktor²ch be₧φ Microsoft SQL Server 2000 bez aplikovanΘho servisnΘho balφka (SP3). Neukladß ₧iadne dßta na disk, ani nijako nemodifikuje s·bory, preto ho je nemo₧nΘ odhali¥ be₧n²m s·borov²m scannerom.
SystΘm je napadnut²
pomocou UDP paketu ve╛kosti 376 bytov prijatΘmu na porte 1434, ktor² je
pou₧φvan² SQL severom.á Tento paket
sp⌠sobφ preteΦenie buffra (buffer overflow) a umo₧nφ spustenie
vykonßvate╛nΘho k≤du Φerva. Po zφskanφ kontroly Φerv cyklicky zasiela svoje
telo (376 bytov) na port 1434 poΦφtaΦov, ktor²ch IP adresy nßhodne generuje.
T²m zabezpeΦφ svoje Üφrenie a zßrove≥ t²m sp⌠sobφ mimoriadne v²raznΘ
zv²Üenie zߥa₧e Φo vedie k faktickΘmu zablokovaniu systΘmu. Okrem tejto
Φinnosti, Φerv nemß inΘ deÜtruktφvne vplyvy.
Popis chyby nßjdete
na http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp.
RieÜenφm infekcie je
inÜtalßcia servisnΘho balφka (Service Pack 3) http://www.microsoft.com/sql/downloads/2000/sp3.asp,