ウイルス情報　｜　製品紹介　｜　無料ダウンロード　｜　セキュリティBOX　｜　サポート情報

W32/SQLSlammer.worm （SQLスラマー） 種別 ： インターネットワーム 危険度 ： 企業ユーザー：高 個人ユーザー：低（要注意） 主な発病 ： トラフィックの急増／ネットワークのパフォーマンス低下／サーバーのクラッシュ 発見日時 ： 2003年1月25日 McAfee.comウイルススキャンオンラインの対応状況：- ※ 無償ダウンロードウイルス駆除ツール「スティンガー」が対応しています。ダウンロードはこちらから W32/SQLSlammer.wormとは？ W32/SQLSlammer.wormは、以下のSQLサーバーのユーザーにとってのみ、「危険度：高」です。 ・Microsoft SQL Server 2000 ・Microsoft Desktop Engine (MSDE) 2000 ※ 上記のプログラムを使用されていない場合は、問題ありませんのでご安心ください。 SQL Server 2000 Service Pack 3を適用しているSQLサーバーはこのウイルスの影響を受けません。 Microsoft SQL Server 2000/Microsoft Desktop Engine (MSDE) 2000が動作しているかの確認方法については、【詳細情報】を参照してください。 このウイルスは、システムからシステムへと移り歩くことだけを目的にしたワームであり、破壊的な発病はありません。 感染した場合の症状 ■ UDPポート 1434のトラフィックの増大をもたらします。SQLサーバー間で感染を続けます。 ■ ネットワークのパフォーマンスが低下します。 対処方法 ■ 無償ウイルス駆除ツール「スティンガー」が「W32SQLSlammer.worm」に対応しております。 こちらからダウンロードして駆除を行ってください。 ■ UDPポート 1434へのアクセスをファイアウォールで遮断します。 ■ Microsoft社のSQL Server 2000 Service Pack 3を適用します（詳細はMicrosoftのサイトをご覧ください。その後、コンピュータを再起動します。 ウイルス詳細情報 ■ Microsoft SQL Server 2000/Microsoft Desktop Engine (MSDE) 2000が動作しているかを確認するには 　 SQL Server が動作している場合、他のコンピュータから接続を受け付けるために、1434/UDP ポートが開かれています。ポートが開かれているかは、次のコマンドで確認することができます。 netstat -an コマンドを実行すると以下の様な結果が表示されます。結果に UDP 0.0.0.0:1434 と表示された行がある場合は、SQL Server が動作しています。表示の行ない場合は、ワームに感染する恐れはありません。 C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING (省略) UDP 0.0.0.0:1434 *:* ワームが送り込んでくる不正形式パケットは、サイズは376バイトに過ぎませんが、しかしこのわずか376バイトに全てのワーム機能が収められています。そのパケットには以下の文字列が含まれています "h.dllhel32hkernQhounthickChGetTf" "hws2" "Qhsockf" "toQhsend". コンピュータの制御を獲得したワームは、ただちにWS2_32.DLLをロードし、ランダムに選んだIPアドレスに向けて自分自身をひたすら送付しつづけます。この動きは無限ループ状態で続きます。ワームが目標とするIPはGetTickCount' API を使って構築されます。つまりこのIPは純粋にランダムなアドレスとなります（例えばローカルサブネットに偏るようなことはありません）。 このような繁殖方法を取っているということは、非常に大量のリクエストがインターネット全体に雪崩れこみ、それによってネットワーク帯域が無用に消費されることを意味します。 なおこのワームはメモリ内にのみ存在します。ローカルコンピュータのファイルを改変するようなことはありません。

Copyright (C) SOURCENEXT CORPORATION All Rights Reserved.