W32.SQLExp.Worm

Lorsque W32.SQLExp.Worm s'attaque à un système vulnérable, il procède de la façon suivante :

• Il s'envoie au Service de Résolution de SQL Server qui écoute sur le port 1434 UDP.
• Il exploite la vulnérabilité de débordement de mémoire qui permet à une partie de la mémoire système d'être écrasée. En procédant ainsi, le ver s'exécute dans le même contexte de sécurité que le service SQL Server.
• Il appelle la fonction Windows API, GetTickCount, et exploite les résultats afin de générer des adresses IP aléatoires.
• Il ouvre un port sur l'ordinateur infecté et tente de s'expédier à maintes reprises au port 1434 UDP au moyen des adresses IP qu'il a générées en utilisant un port source fictif. Le ver ne s'attaque pas de façon sélective aux hôtes du sous-réseau local provoquant ainsi une surcharge du trafic.

W32.SQLExp.Worm SQL Server Worm Analysis Deepsight™ Threat Management System Threat Analysis

Pour en savoir plus sur la vulnérabilité que ce ver exploite, consultez l'article suivant (en anglais) :
http://securityresponse.symantec.com/avcenter/security/Content/2270.html.

Symantec Gateway Security
Symantec a publié des mises à jour pour Symantec Gateway Security via LiveUpdate. Vous pouvez également cliquer ici pour savoir comment réduire le trafic entrant de W32.SQLExp.Worm en utilisant Symantec Gateway Security.

Enterprise Security Manager
Symantec a publié une stratégie Enterprise Security Manager pour cette menace. Cliquez ici pour plus d'informations.

Intruder Alert
Symantec a publié une stratégie d'intégration Intruder Alert 3.5/3.6 pour NetProwler 3.5x. Cliquez ici pour plus d'informations.

NetProwler
Symantec a publié une Mise à jour de Sécurité 22 pour NetProwler 3.5.1, comprenant une détection pour W32.SQLExp.Worm. Cliquez ici pour plus d'informations.

Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall
Cliquez ici pour en savoir plus sur la limitation du trafic entrant pour W32.SQLExp.Worm en utilisant Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall.

ManHunt
Les technologies de détection des anomalies de protocole de ManHunt identifient le trafic généré par cette menace comme un flux UDP. Pour identifier cette menace comme W32.SQLExp.Worm, Symantec recommande aux utilisateurs de ManHunt d'activer la fonction HYBRID MODE et d'appliquer la règle personnalisée suivante :

*******************start file********************

#
#Variables need to be set dependent on the users network. Below are examples on how to set
# variable. For more information see ManHunt Administrative Guide: Appendix A.
#
#var EXTERNAL_NET 192.168.1.0/24
#
#
#
var EXTERNAL_NET any
var HOME_NET any
#
#
#
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 64 6C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;)

*************EOF*********************

Pour en savoir plus sur la façon de créer des signatures personnalisées, reportez-vous au "Guide administrateur ManHunt : Annexe A Signatures personnalisées pour mode HYBRID."

Recommandations

Symantec Security Response encourage tous les utilisateurs et les administrateurs à adhérer aux "pratiques d'excellence" suivantes en matière de sécurité :

• Désactivez et supprimez les services inutiles. De nombreux systèmes d'exploitation installent par défaut des services auxiliaires qui ne sont pas importants, tels qu'un serveur FTP, telnet et un serveur Web. Ces services sont des portes ouvertes aux attaques. Si vous les supprimez, les menaces combinées ont moins de possibilité d'attaque et vous avez moins de services à protéger grâce aux mises à jour des correctifs.
• Si une menace combinée exploite des services réseau, désactivez ou bloquez l'accès à ces services jusqu'à ce qu'un correctif soit appliqué.
• Installez toujours les dernières versions de correctifs, en particulier sur les ordinateurs qui accueillent des services publics et qui sont accessibles via le pare-feu, tels que les services HTTP, FTP, la messagerie électronique et le DNS. Ainsi, il est recommandé d'installer le Service Pack le plus récent sur tous vos ordinateurs fonctionnant sous Windows. En outre, il est recommandé d'appliquer toutes les mises à jour de sécurité mentionnées dans cet article, dans les bulletins de sécurité reconnus ou sur les sites Internet de vos fournisseurs.
• Instaurez une politique de mot de passe. Il est plus difficile d'accéder aux fichiers protégés par mot de passe sur les ordinateurs infectés si le mot de passe est complexe. Cela permet d'empêcher ou de limiter les dommages causés lorsque la sécurité d'un ordinateur est compromise.
• Configurez votre serveur de courrier électronique afin qu'il bloque ou supprime les messages électroniques dont les pièces jointes sont des fichiers couramment utilisés pour diffuser des virus, tels que les fichiers .vbs, .bat, .exe, .pif ou .scr.
• Isolez rapidement les ordinateurs infectés afin d'empêcher une autre attaque au sein de votre entreprise. Effectuez une analyse des incidents et restaurez les ordinateurs à l'aide de supports approuvés.
• Demandez à vos employés de ne pas ouvrir de pièces jointes de source inconnue ou non sollicitées. De même, ne lancez pas de logiciel téléchargé depuis Internet avant qu'il n'ait fait l'objet d'une recherche de virus. Une simple visite d'un site Internet infecté peut causer une attaque si certaines vulnérabilités du navigateur n'ont pas été corrigées.

Résumé