WORM_SQLP1434.A
別 名:
W32/SQLSlammer, エスキューエルピー, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A
特 徴:
2003年1月25日現在、この「WORM_SQLP1434.A」の流行によるものと考えられる、UDPポート1434に対するDoS攻撃の報告が急増しています。「WORM_SQLP1434.A」の活動は
Micirosoft SQLサーバー2000の脆弱性を利用していますのでMicirosoft SQLサーバー2000が稼動していない環境では危険がありませんのでご安心ください。
また、SQLの技術を利用した「MSDE(Microsoft SQL Server 2000 Desktop Engine)」を使用している環境でも同様の脆弱性を持つことが明らかになりました。ご注意ください。
「WORM_SQLP1434.A」はMicirosoft SQLサーバー2000の脆弱性を利用してサーバのメモリ中に直接侵入して活動することのできるワーム型不正プログラムです。以前に登場した「Codered」同様、脆弱性を狙った攻撃により外部から直接メモリ上で不正コードが実行されてしまうため、侵入時にファイルコピーなどは行われません。したがって通常のファイルベースでリアルタイム監視を行うアンチウイルスソフトでは「WORM_SQLP1434.A」の侵入を検出できません。
トレンドマイクロではトレンドマイクロシステムクリーナ(TSC)にて侵入した「WORM_SQLP1434.A」の検出に対応しました。メモリ中の「WORM_SQLP1434.A」を検出することができますTSCは以下のサイトからダウンロード可能です。
トレンドマイクロシステムクリーナ
「WORM_SQLP1434.A」の活動は Micirosoft SQLサーバー2000の脆弱性を利用しています。また、MSDE(Microsoft
SQL Server 2000 Desktop Engine)を使用している環境でも同様の脆弱性を持つことが明らかになりました。脆弱性のあるMicirosoft
SQLサーバー2000が稼動している環境にのみ侵入することが可能です。
この不正プログラムが利用する脆弱性への対応方法は以下のマイクロソフト社の説明をご参照ください:
SQL
Server および MSDE を標的とした SQL Slammer ワームに関する情報
また、一時的な措置としてUDPポート1434をブロックすることによっても防御が可能ですが、このポートはMicrosoft SQLサーバー自身が使用するポートですので、SQLサーバーの動作に支障がでるものと思われます。根本的な対策として脆弱性への対応をお勧めします。
対応方法:
脆弱性を利用してコンピュータのメモリ中で直接実行されるタイプのワームです。侵入時にファイルコピーなどは作成されませんので通常のファイルベースでリアルタイム監視を行うアンチウイルスソフトでは「WORM_SQLP1434.A」の侵入を検出できません。
トレンドマイクロではトレンドマイクロシステムクリーナ(TSC)にて侵入した「WORM_SQLP1434.A」の検出に対応しました。メモリ中の「WORM_SQLP1434.A」を検出し、システムの再起動を促します。再起動によりメモリがクリアされ「WORM_SQLP1434.A」の活動を停止できます。TSCは以下のサイトからダウンロード可能です。
トレンドマイクロシステムクリーナ
ただし、セキュリティパッチの適用をしない限り、再度攻撃を受ける可能性があります。根本的な対策としてSQLサーバーの脆弱性への対応をお勧めします。
・侵入方法:
ワームはSQLサーバの脆弱性を利用して外部からユーザのコンピュータに直接侵入します。脆弱性がない環境にワームが侵入する危険性はありません。
・感染確認方法:
ワームに侵入されたコンピュータからはランダムなIPアドレスへの不正アクセスが頻繁に行われます。「WORM_SQLP1434.A」の侵入と断定するためには上述のTSCを使用してください。
・感染していた場合の対処:
ワームに侵入された場合はコンピュータを再起動することにより、メモリがクリアされ、ワームが駆除されます。ただし、脆弱性がある環境では再度の侵入の可能性がありますので根本的な対策としてSQLサーバーの脆弱性への対応をお勧めします。脆弱性への対応方法は以下のマイクロソフト社の説明をご参照ください:
SQL
Server および MSDE を標的とした SQL Slammer ワームに関する情報
また、一時的な措置としてUDPポート1434をブロックすることによっても防御が可能ですが、このポートはMicrosoft SQLサーバー自身が使用するポートですので、SQLサーバーの動作に支障がでるものと思われます。根本的な対策としてはあくまでも脆弱性への対応を行ってください。
|