ชื่อ : W32.SQLExp.Worm
ค้นพบเมื่อ : 24 มกราคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : SQL Slammer Worm, DDOS.SQLP1434.A, W32/SQLSlammer
ระดับความรุนแรง : สูง
ลักษณะทั่วไป
มีผลกระทบต่อเครื่องที่ติดตั้ง
1. Microsoft SQL Server 2000
2. Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3W32.SQLExp.Worm เป็นหนอนที่มุ่งโจมตีและมีผลกระทบเฉพาะเครื่องเซิร์ฟเวอร์ที่รัน Microsoft SQL เท่านั้น หนอนชนิดนี้ทำงานอยู่ในหน่วยความจำเท่านั้น ดังนั้นจึงทำให้โปรแกรมป้องกันไวรัสไม่สามารถตรวจจับได้
หนอนชนิดนี้ทำการส่งข้อมูลขนาด 376 ไบต์ไปยังพอร์ด 1434/udp (เป็นพอร์ต SQL Server Resolution Service Port) เริ่มตั้งแต่เวลา 5:31 am GMT (12:31 น. เวลาประเทศไทย) ของวันที่ 25 มกราคม 2546 เป็นจำนวนมาก ระหว่างเครื่องเซิร์ฟเวอร์ที่ให้บริการ MS-SQL ทำให้ระบบเครือข่ายใช้งานไม่ได้ เป็นการโจมตีแบบ Denial of Service (DoS)
หนอนชนิดนี้โจมตีผ่านช่องโหว่ที่เรียกว่า ไมโครซอฟต์ SQL server 2000 มี stack overflow ใน SQL Server Resolution Service
รายละเอียดทางเทคนิค
เมื่อหนอน W32.SQLExp.Worm ติดเครื่องแล้วจะมีการทำงานดังนี้
-
เปิดซ็อกเก็ตของ netbios เพื่อให้หนอนทำการส่งแพ็กเก็ต
- ใช้งานฟังก์ชั่น API ของวินโดวส์ ที่ชื่อ GetTickCount เพื่อที่จะสุ่มหมายเลข IP สำหรับการส่งหนอน
- ทำการส่งตัวหนอนเองไปยังทุก IP ที่สุ่มขึ้นผ่านทางพอร์ต 1434/udp
คำแนะนำในการกำจัดหนอนชนิดนี้ :
- ทำการตรวจสอบว่าในระบบที่ใช้งานอยู่มีการใช้งานโปรแกรมต่อไปนี้หรือไม่
-
Microsoft SQL Server 2000
- Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3
-
- ถ้าหากพบให้ทำการถอดเครื่องดังกล่าวออกจากเครือข่าย ทำการสำรองข้อมูลที่อยู่ในเซิร์ฟเวอร์ MS-SQL แล้วทำการอัพเดต patch MS02-034 MS02-039 และ MS02-061 จากนั้นทำการรีสตาร์ทเซิร์ฟเวอร์
หมายเหตุ สามารถดาวน์โหลด patch ได้จากเว็บไซต์ ThaiCERT MS02-034 MS02-039 และ Service Pack 3
วิธีการกำจัดหนอนแบบอัตโนมัติ
- ดาวน์โหลด fix tools ชื่อ SYSCLEAN.COM และอ่านวิธีการใช้งานได้ที่ http://www.trendmicro.com/ftp/products/tsc/readme.txt
วิธีป้องกันตัวเองจากไวรัส
- ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
- สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
- ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
- ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
- ระงับการให้บริการของไมโครซอฟต์ SQL
- ป้องกันการร้องขอ การเชื่อมต่อผ่านทางพอร์ต 1434/udp โดยใช้ไฟร์วอลล์ อ่านรายละเอียดเพิ่มเติม การตั้งค่าไฟร์วอลล์ในระบบปฎิบัติการ Windows 2000
ความคิดเห็น