W32.SQLExp.Worm はMicrosoft SQL 2000およびMicrosoft Desktop Engine(MSDE) 2000が稼動中のサーバーを標的にするワームです。W32.SQLExp.Worm は、376バイトを1434/udp（SQL Serverの解決サービスのポート）に送信します。

このワームは大量のパケットを送出するため、意図的ではないものの結果的にシステムをサービス拒否状態に陥らせてしまうという発病症状を持っています。

Microsoft SQL Server 2000またはMSDE 2000をお使いのお客様は、直ちにシステムのセキュリティ監査を実施し、マイクロソフトのセキュリティ情報 MS02-039およびMS02-061で解説されているセキュリティホールが存在していないかどうか確認してください。

また、次の対策も行うことをお勧めします。

• 周辺機器の設定を、信頼できないホストからポート1434へのUDPトラフィックを遮断するように設定してください。
  
• ネットワークからポート1434へ向けたUDPトラフィックを遮断してください。
  
  

弊社では、下記Webページ（英語）にてW32.SQLExp.Wormの実態をWeb放映しています。
https://enterprisesecurity.symantec.com/Content/webcastarchive.cfm?SSL=YES&EID=0&webcastID=45

駆除ツール
シマンテックは、W32.SQLExp.Wormの感染を除去する駆除ツールを開発しました。駆除ツールを入手するには、こちらをクリックしてください。駆除ツールを使用すると、最も容易にこのワームを駆除することができます。まずは駆除ツールを使って駆除を試みてください。このワームは、メモリ上に常駐するだけであり、ディスク等には何も記録しないため、ウイルス定義を使用したスキャンでは、検知することができません。この脅威に対処するためには、このページに記載の対策を実行してください。

シマンテックの各種セキュリティ製品を使用してこの脅威を検出する方法については、後述のテクニカルノートをご覧ください。

別名: SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]

種別: ワーム

感染サイズ: 376 バイト

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux

CVE識別番号: CAN-2002-0649

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 高 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 高 ダメージ: 低 感染力: 中

ダメージ

• 発病症状:
  • パフォーマンス低下: ネットワークのアベイラビリティ（可用性）に悪影響を与えるおそれがある。
    

感染力

• ポート: UDPポート1434 このワームはランダムに生成されたIPアドレスに絶えずトラフィックを送信し、このポートで待機しているMicrosoft SQL Serverの解決サービスを実行中のホストに自分自身を送信しようとする。
  

W32.SQLExp.Wormが脆弱なコンピュータを攻撃するとき、次のことを行います。

・UDPポート1434で待機しているSQL Serverの解決サービスに自分自身を送信します。
・システムメモリの一部の上書きを許可してしまうバッファ・オーバーフローの脆弱性を利用します。そのときワームはSQL Serverのサービスと同じセキュリティ・コンテキストで動作します。
・WindowsのAPI関数であるGetTickCount()を呼び出し、その結果をランダムなIPアドレスのシードとして使用します。
・感染しているコンピュータ上のソケットを開き、一時的なソースポートを使用して、生成したIPアドレスのUDPポート1434に繰り返し自分自身を送信しようとします。そのとき、ワームはローカルサブネット内のホストを選定して攻撃するわけではないため、結果的にトラフィックが膨大になります。

このワームが利用する脆弱性に関する詳細情報については、下記のページをご覧ください。

http://securityresponse.symantec.com/avcenter/security/Content/2270.html（英語）
http://www.symantec.com/region/jp/sarcj/security/content/2270.html（日本語）

マイクロソフト製品についての情報は、"SQL Server および MSDE を標的とした SQL Slammer ワームに関する情報"もご覧ください。

http://www.microsoft.com/japan/technet/security/virus/sqlslam.asp


Symantec Gateway Security
現在、Symantec Gateway SecurityのアップデートをLiveUpdateで配布しています。Symantec Gateway Security製品を使ってW32.SQLExp.Wormのトラフィックを制限する方法については、USサイトのこちらをクリックしてください。

Intruder Alert
シマンテックは、NetProwler 3.5x用のIntruder Alert 3.5/3.6 Integration ポリシーを配布しています。詳しくは、USサイトのこちらをクリックしてください。

NetProwler
NetProwler 3.5.1用のSecurity Update 22はW32.SQLExp.Wormに対応しています。詳しくは、USサイトのこちらをクリックしてください。

Symantec Enterprise Firewall, Symantec VelociRaptor, Symantec Raptor Firewall
シマンテックのEnterprise Firewall、VelociRaptor、Raptor製品を使ってW32.SQLExp.Wormのトラフィックを制限する方法については、USサイトのこちらをクリックしてください。

Symantec ManHunt:
Symantec ManHuntプロトコル異常検出機能がこの脅威によって生成されたトラフィックをUDPフラッドとして検知します。 Symantec ManHuntがこの脅威をW32.SQLExp.Wormとして検出するように設定するためには、Symantec ManHuntをご使用のお客様は必ず、HYBRID MODE機能をオンに設定し、下記のカスタム・ルールを直ちに適用してください。

*******************start file********************

#
#Variables need to be set dependent on the users network. Below are examples on how to set
# variable. For more information see Symantec ManHunt Administrative Guide: Appendix A.
#
#var EXTERNAL_NET 192.168.1.0/24
#
#
#
var EXTERNAL_NET any
var HOME_NET any
#
#
#
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; content:"|68 2E 64 6C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; depth:1;)

*************EOF*********************


カスタム・シグネチャの具体的な作成方法については、Symantec ManHunt Administrative Guide: Appendix A Custom Signatures for HYBRID Mode（英語）をご覧ください。

シマンテックは、W32.SQLExp.Wormの感染を除去する駆除ツールを開発しました。駆除ツールを入手するには、こちらをクリックしてください。駆除ツールを使用すると、最も容易にこのワームを駆除することができます。まずは駆除ツールを使って駆除を試みてください。このワームは、メモリ上に常駐するだけであり、ディスク等には何も記録しないため、ウイルス定義を使用したスキャンでは、検知することができません。この脅威に対処するためには、このページに記載の対策を実行してください。

追加情報

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0649 （英語）

http://www.cert.org/advisories/CA-2002-22.html （英語）

http://online.securityfocus.com/bid/5310 （英語）

http://online.securityfocus.com/bid/5311 （英語）

http://www.microsoft.com/technet/security/bulletin/ms02-039.asp (英語）
http://www.microsoft.com/japan/technet/security/bulletin/ms02-039.asp（日本語）

http://www.microsoft.com/technet/security/bulletin/MS02-061.asp(英語）
http://www.microsoft.com/japan/technet/security/bulletin/ms02-061.asp（日本語）

http://www.cisco.com/warp/public/707/cisco-sa-20030126-ms02-061.shtml（英語）

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。