Добро пожаловать на независимую площадку Stop Malware.
Показано с 1 по 1 из 1

Тема: Net-Worm.Win32.Slammer(aka Helkern)

Понравилась статья? Поделись с друзьями!
  1. #1
    Аватар для Мирный Атом
    Мирный Атом
    Мирный Атом вне форума

    Местный
    Регистрация
    22.03.2011
    Адрес
    Россия, Каменск-Уральский
    Сообщений
    126
    Поблагодарил(а)
    138
    Благодарностей
    79
    Записей в дневнике
    3

    Восклицание Net-Worm.Win32.Slammer(aka Helkern)

    Технические детали

    Интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000. Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS
    SQL (см. ниже).

    Червь имеет крайне небольшой размер - всего 376 байт.

    Червь присутствует только в памяти зараженных компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности зараженного компьютера).


    При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:

    GetTickCount (KERNEL32.DLL)
    socket, sendto (WS2_32.DLL)




    Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").

    Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все зараженные сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

    В коде червя видны строки:

    h.dllhel32hkernQhounthickChGet
    Qh32.dhws2_f
    etQhsockf
    toQhsend



    Реализация атаки

    Для реализации атаки на сервера используется одна из ошибок в защите IIS типа:

    Remote Buffer Overrun Vulnerability

    Название конкретной применяемой атаки:

    Unauthenticated Remote Compromise in MS SQL Server 2000

    Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами к
    MS SQL Server 2000.

    Подробное описание уязвимости можно найти на сайте Microsoft: http://www.microsoft.com/technet/tre...n/MS02-039.asp
    (Microsoft Security Bulletin MS02-039)

    и на сайте NGSSoftware Insight Security Research Advisory: http://www.nextgenss.com/advisories/mssql-udp.txt


    Патч к MS SQL Server 2000 исправляющий данную ошибку можно скачать с сайта Microsoft:
    http://www.microsoft.com/Downloads/R...eleaseID=40602

    Также рекомендуется запускать SQL Server c минимальным уровнем привелегий локальных аккаунтов, без системного или доменного аккаунта.
    Последний раз редактировалось Мирный Атом; 22.03.2011 в 18:21.

 

 

Похожие темы

  1. Net-Worm.Win32.Kido.ir
    от Мирный Атом в разделе Описание вирусов
    Ответов: 0
    Последнее сообщение: 22.03.2011, 19:08
  2. Worm.Win32.Stuxnet.a
    от Мирный Атом в разделе Описание вирусов
    Ответов: 1
    Последнее сообщение: 22.03.2011, 18:49

Социальные закладки

Социальные закладки

Ваши права

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •