W32/SQLSlammer se ha descubierto por primera vez el 25/01/03. Su Alta propagación durante este pasado fin de semana ha llevado a considerarlo como de Alto Riesgo. Este aviso de Alto Riesgo es sólo para sistemas no parcheados (ya que sólo afecta a servidores SQL donde no se haya instalado SP2 o SP3):

- Microsoft SQL Server 2000
- Microsoft Desktop Engine (MSDE) 2000

El gusano ataca sistemas SQL 2000 no parcheados, y utiliza las vulnerabilidades anunciadas en el artículo MS02-039 de Microsoft.

El virus sólo existe en memoria, y su finalidad es simplemente propagarse de un sistema SQL a otro, no incluye ningún payload destructivo. Causa un notable incremento de tráfico en el puerto UDP 1434, lo cual puede provocar un importante decremento de rendimiento en todos los sistema de la red.

Para obtener control del servidor destino, provoca un desbordamiento de buffer en el servicio "Server Resolution". Los servidores SQL que tengan instalado Service Pack 2 o Service Pack 3 (publicado el 17 de Enero) no están afectados.

El paquete que transporta el gusano tiene 376 bytes de longitud y transporta las siguiente cadenas:

"h.dllhel32hkernQhounthickChGetTf", "hws2", "Qhsockf" y "toQhsend".

Pueden encontrar una descripción completa de W32/SQLSlammer en http://vil.nai.com/vil/content/v_99992.htm

1- En las reglas del cortafuegos, bloquear el puerto UDP 1434 de entrada.

2- Dercargar y aplicar el Service Pack 3 de Microsoft, y reiniciar el servidor. Esto eliminará el virus de la memoria y evitará una reinfección.

Aplicar el parche disponible en Microsoft:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

SATINFO, VIRUSCAN SPAIN SERVICE 27 de Enero de 2003

Anterior