||||
Symantec.com > Security Response > W32.SQLExp.Worm
IMPRIMEZ CETTE PAGE

W32.SQLExp.Worm

Niveau de risque 2 : Faible

Téléchargez l'outil de suppression | Version imprimable

Détecté : 24 Janvier 2003
Mis à jour : 13 Février 2007 11:43:18 AM
Egalement appelé : SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]
Type : Ver
Etendue de l'infection : 376 octets
Systèmes affectés : Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Références CVE : CAN-2002-0649


W32.SQLExp.Worm est un ver qui s'attaque aux systèmes exécutant Microsoft SQL Server 2000 et Microsoft Desktop Engine (MSDE) 2000. Le ver envoie 376 octets de données au port 1434 UDP, alloué par le Service de Résolution de SQL Server.

L'envoi massif de paquets de données par le ver provoque une attaque non intentionnelle de type déni de service.

Symantec Security Response recommande vivement à tous les utilisateurs de Microsoft SQL Server 2000 ou MSDE 2000 d'analyser leurs ordinateurs pour détecter les vulnérabilités signalées dans les Bulletins de Sécurité Microsoft MS02-039 et MS02-061.

Symantec Security Response vous recommande également de :
  • Configurer des dispositifs de périmètre afin de bloquer le trafic UDP entrant sur le port 1434 provenant d'hôtes non fiables.
  • Bloquer le trafic UDP sortant de votre réseau vers le port de destination 1434.


Outil de suppression
Symantec propose un outil pour supprimer les infections de W32.SQLexp.Worm. Cliquez ici pour obtenir l'outil. Essayez cet outil en premier lieu, il représente le moyen le plus simple pour éliminer cette menace. Le ver réside en mémoire seulement mais n'est pas écrit sur le disque, par conséquent les définitions de virus ne détectent pas cette menace. Symantec Security Response vous recommande de suivre les instructions décrites dans cet article afin de traiter cette menace.

Reportez-vous à la section Détails Techniques ci-dessous pour savoir comment configurer les produits Symantec afin qu'ils détectent cette menace.




http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649

http://www.cert.org/advisories/CA-2002-22.html

http://online.securityfocus.com/bid/5310

http://online.securityfocus.com/bid/5311

http://www.microsoft.com/technet/security/bulletin/ms02-039.asp

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml

Protection

  • Version initiale des définitions Rapid Release 25 Janvier 2003
  • Dernière version des définitions Rapid Release 20 Août 2008 révision 017
  • Version initiale des définitions Daily Certified 25 Janvier 2003
  • Dernière version des définitions Daily Certified 20 Août 2008 révision 016
  • Date de la version initial des définitions Weekly Certified en attente

Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence : Faible
  • Nombre d'infections : More than 1000
  • Nombre de sites : More than 10
  • Distribution géographique : Elevé
  • Contrôle de la menace : Facile
  • Suppression : Facile

Dommages

  • Niveau de dommage : Faible
  • Dégrade les performances : Peut perturber le réseau

Distribution

  • Niveau de distribution : Moyen
  • Ports : Port 1434 UDP. Le ver crée un trafic continu sur des adresses IP générées de façon aléatoire, en tentant de s'expédier lui-même à des hôtes qui exécutent le Service de Résolution de Microsoft SQL Server et écoutent sur ce port.

Ecrit par : Douglas Knowles
Norton Premium Services! Nous remettons de l'ordre sur votre PC!
©1995 - 2009 Symantec Corporation
Plan du site|
Mentions légales|
Politique de confidentialité|
Nous contacter|
Symantec dans le monde|
Contrats de licences

** L'achat en ligne des Produits Symantec s'effectue depuis le site édité et exploité par un revendeur agréé, la succursale anglaise de la Société Digital River Inc.