Compras

Symantec.com > Empresas > Security Response > W32.SQLExp.Worm
IMPRIMIR ESTA PÁGINA

W32.SQLExp.Worm

Nível do risco2: Baixo

Descoberto:
24 de Janeiro de 2003
Atualizado:
13 de Fevereiro de 2007 11:43:25 AM
Também conhecido como:
SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]
Tipo:
Worm
Extensão da infecção:
376 bytes
Sistemas afetados:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Referências CVE:
CAN-2002-0649


O worm W32.SQLExp. é um worm que atinge os sistemas que estiverem executando o Microsoft SQL Servidor 2000 e também o Microsoft Desktop Engine (MSDE) 2000. O worm envia 376 bytes para a porta UDP, a porta de SQL Server Resolution Service .

O worm tem o efeito não pretendido de realizar um ataque de Negação de Serviço devido ao grande número de pacotes enviados.

O Symantec Security Response recomenda, enfaticamente, que todos os usuários do Microsoft SQL Servidor 2000 e do MSDE 2000 examinem suas máquinas para as vulnerabilidades mencionadas no documento Microsoft Security Bulletin MS02-039 e Microsoft Security Bulletin MS02-061.

O Symantec Security Response também recomenda:
    • Configuração de dispositivos de perímetro a fim de bloquear a entrada de trânsito UDP para a porta 1434 de hostes não confiáveis.
    • Bloqueio da entrada de trânsito UDP de uma rede para o destino porta 1434.
Para mais informações sobre a explosão do SQL, consulte o endereço abaixo:

https://enterprisesecurity.symantec.com/Content/webcastarchive.cfm?SSL=YES&EID=0&webcastID=45

Ferramenta de remoção
Symantec forneceu uma ferramenta para remover as infecções do W32.SQLExp.Worm. Clique aqui para obter a ferramenta. Esta é a maneira mais fácil para remover estas ameaças e deve ser utilizada primeiro. Como o worm é somente presente na memória e não é gravado em disco, essa ameaça não pode ser detectada usando definições de vírus. O Symantec Security Response recomenda que você siga as medidas abaixo para lidar com essa ameaça.

Por favor, consulte a seção descrição técnica abaixo para obter informação sobre como configurar os produtos Symantec para detectar essa ameaça.




http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649

http://www.cert.org/advisories/CA-2002-22.html

http://online.securityfocus.com/bid/5310

http://online.securityfocus.com/bid/5311

http://www.microsoft.com/technet/security/bulletin/ms02-039.asp

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp

http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml

Datas da proteção antivírus

  • Versão inicial do Rapid Release25 de Janeiro de 2003
  • Última versão do Rapid Release17 de Maio de 2012 revisão034
  • Versão inicial diária certificada25 de Janeiro de 2003
  • Última versão diária certificada17 de Maio de 2012 revisão036
  • Data da versão inicial semanal certificadapendente
Clique aqui para obter uma descrição mais detalhada das definições de vírus diárias certificadas e do Rapid Release.

Avaliação da ameaça

Disseminação

  • Nível de disseminação:Low
  • Número de infecções:More than 1000
  • Número de sites:More than 10
  • Distribuição geográfica:High
  • Contenção da ameaça:Easy
  • Remoção:Easy

Dano

  • Nível do dano:Low
  • Reduz o desempenho:Pode atingir a disponibilidade da rede.

Distribuição

  • Nível de distribuição:Medium
  • Portas:UDP porta 1434. O worm envia pacotes continuamente para os diversos endereços IP gerados aleatoriamente, e tenta enviar uma cópia de si mesmo aos hosts que estiverem executando o Microsoft SQL Server Resolution Service e que estejam monitorando essa
Escrito por:Douglas Knowles
Detalhes técnicos
©1995 - 2012 Symantec Corporation
Mapa do site|
Avisos legais|
Política de privacidade|
Contato|
Sites globais