1. /
  2. Security Response/
  3. W32.SQLExp.Worm
  4. W32.SQLExp.Worm
  • Ajouter

W32.SQLExp.Worm

Niveau de risque2 : Faible

Découvert :
24 Janvier 2003
Mis à jour :
13 Février 2007 11:43:18 AM
Egalement appelé :
SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]
Type :
Worm
Etendue de l'infection :
376 octets
Systèmes affectés :
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Références CVE :
CAN-2002-0649

W32.SQLExp.Worm est un ver qui s'attaque aux systèmes exécutant Microsoft SQL Server 2000 et Microsoft Desktop Engine (MSDE) 2000. Le ver envoie 376 octets de données au port 1434 UDP, alloué par le Service de Résolution de SQL Server.

L'envoi massif de paquets de données par le ver provoque une attaque non intentionnelle de type déni de service.

Symantec Security Response recommande vivement à tous les utilisateurs de Microsoft SQL Server 2000 ou MSDE 2000 d'analyser leurs ordinateurs pour détecter les vulnérabilités signalées dans les Bulletins de Sécurité Microsoft MS02-039 et MS02-061.

Symantec Security Response vous recommande également de :
  • Configurer des dispositifs de périmètre afin de bloquer le trafic UDP entrant sur le port 1434 provenant d'hôtes non fiables.
  • Bloquer le trafic UDP sortant de votre réseau vers le port de destination 1434.


Outil de suppression
Symantec propose un outil pour supprimer les infections de W32.SQLexp.Worm. Cliquez ici pour obtenir l'outil. Essayez cet outil en premier lieu, il représente le moyen le plus simple pour éliminer cette menace. Le ver réside en mémoire seulement mais n'est pas écrit sur le disque, par conséquent les définitions de virus ne détectent pas cette menace. Symantec Security Response vous recommande de suivre les instructions décrites dans cet article afin de traiter cette menace.

Reportez-vous à la section Détails Techniques ci-dessous pour savoir comment configurer les produits Symantec afin qu'ils détectent cette menace.




http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649

http://www.cert.org/advisories/CA-2002-22.html

http://online.securityfocus.com/bid/5310

http://online.securityfocus.com/bid/5311

http://www.microsoft.com/technet/security/bulletin/ms02-039.asp

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release25 Janvier 2003
  • Dernière version des définitions Rapid Release24 Juin 2014 révision 006
  • Version initiale des définitions Daily Certified25 Janvier 2003
  • Dernière version des définitions Daily Certified20 Mai 2013 révision 003
  • Date de la version initiale des définitions Weekly Certifieden attente
Cliquez ici si vous souhaitez une description plus détaillée des définitions de virus Rapid Release et Daily Certified.

Evaluation de la menace

Virulence

  • Niveau de virulence :Low
  • Nombre d'infections :More than 1000
  • Nombre de sites :More than 10
  • Répartition géographique :High
  • Contrôle de la menace :Easy
  • Suppression :Easy

Dommages

  • Niveau de dommages :Low
  • Dégrade les performances :Peut perturber le réseau

Distribution

  • Niveau de distribution :Medium
  • Ports :Port 1434 UDP. Le ver crée un trafic continu sur des adresses IP générées de façon aléatoire, en tentant de s'expédier lui-même à des hôtes qui exécutent le Service de Résolution de Microsoft SQL Server et écoutent sur ce port.
Rédigé par :Douglas Knowles