2003年01月27日　１2：00

W32.SQLExp.Worm

W32.SQLExp.Worm はMicrosoft SQL 2000およびMicrosoft Desktop Engine(MSDE) 2000が稼動中のサーバーを標的にするワームです。W32.SQLExp.Worm は、376バイトを1434/udp（SQL Serverの解決サービスのポート）に送信します。午前5：31（世界標準時）以降、1434/udpに対するソースIPスキャン数が顕著に増加しています。MS-SQL Server 2000またはMSDE 2000をお使いのお客様は、直ちにシステムのセキュリティ監査を実施し、マイクロソフトのセキュリティ情報 MS02-039およびMS02-061で解説されているセキュリティホールが存在していないかどうか確認してください。
また、周辺機器の設定を、1434/udpへの信頼できないホストからの通信トラフィックを遮断するように設定することをお勧めします。このワームは大量のパケットを送出するため、意図的ではないものの結果的にシステムをサービス拒否状態に陥らせてしまうという発病症状を持っています。

駆除ツール
シマンテックは、W32.SQLExp.Wormの感染を除去する駆除ツールを開発しました。駆除ツールを入手するには、こちらをクリックしてください。駆除ツールを使用すると、最も容易にこのワームを駆除することができます。まずは駆除ツールを使って駆除を試みてください。このワームは、メモリ上に常駐するだけであり、ディスク等には何も記録しないため、ウイルス定義を使用したスキャンでは、検知することができません。この脅威に対処するためには、このページに記載の対策を実行してください。

シマンテックの各種セキュリティ製品を使用してこの脅威を検出する方法については、後述のテクニカルノートをご覧ください。

別名: SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee]

種別: ワーム

感染サイズ: 376 バイト

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux

CVE識別番号: CAN-2002-0649

被害状況

　感染台数: 1000以上
　報告件数: 10以上
　地域感染度: 高
　対処レベル: 高
　駆除: 容易

　被害状況: 高
　ダメージ: 低
　感染力: 中

ダメージ 発病症状: パフォーマンス低下: ネットワークのアベイラビリティ（可用性）に悪影響を与えるおそれがある。
感染力 　ポート: 1434/udp

テクニカルノート

32.SQLExp.Wormは次のことを行い、標的のコンピュータを攻撃します。
WindowsのAPI関数であるGetTickCount()を使用してランダムなIPアドレスを生成し、それらのIPアドレスをワームパケットの送信先にする。
生成したIPアドレスすべてのUDPポート1434に自分自身を繰り返し送信する。
W32.SQLExp はさまざまなIPアドレスにパケットを絶えず送信することによって、サービス拒否攻撃を実行します。

推奨する感染予防策

Symantec Security Responseでは、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。
・不必要なサービスをすべて無効化するか、あるいは削除する。OSの多くは標準で、FTPクライアント、telnet、Webサーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。

・1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。

・常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNSサービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。

・パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。

・メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scrなど)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。

・ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。

・従業員に対し、次のことを徹底させる。

予期せぬメールが届いた場合には添付ファイルを絶対に開かない。

インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。

既知のセキュリティホールに対応するパッチが適用されていないWebブラウザーを使用している場合は、安全でないWebサイトにアクセスするだけで感染する可能性があることに留意する。

シマンテックは、W32.SQLExp.Wormの感染を除去する駆除ツールを開発しました。駆除ツールを入手するには、こちらをクリックしてください。駆除ツールを使用すると、最も容易にこのワームを駆除することができます。まずは駆除ツールを使って駆除を試みてください。このワームは、メモリ上に常駐するだけであり、ディスク等には何も記録しないため、ウイルス定義を使用したスキャンでは、検知することができません。この脅威に対処するためには、このページに記載の対策を実行してください。

ウィルス名

• W32.SQLExp.Worm
  
  

• 発見日

2003年01月

分類

• ワーム

発生場所

• 世界中

感染対象

• Windows系全て

参考（情報 / 駆除方法など）

• シマンテック株式会社
• トレンドマイクロ株式会社