製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス名危険度
W32/SQLSlammer.worm
企業ユーザ:
個人ユーザ: 低[要注意]
最小定義ファイル
(最初に検出を確認したバージョン)
4371
対応定義ファイル
(現在必要とされるバージョン)
4247 (現在7562)
対応エンジン- (現在5600) 
エンジンバージョンの見分け方
別名DDOS_SQLP1434.A (Trend)、Sapphire (F-Secure, eEye) 、W32.SQLExp.Worm (Symantec)
情報掲載日03/01/25
発見日(米国日付)03/01/25
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
09/14RDN/Obfuscat...
09/14RDN/GenericA...
09/14RDN/Generic....
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7562
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2003/1/30 更新

このワームに対して脆弱だったシステムにパッチがあてられ、また、ファイアウォールがUDPポート1434をブロックするように設定された結果、感染報告が減少しているため、このワームの危険度を「中」に下げました。


2003/1/28 更新

    「W32/SQLSlammer.worm 緊急対策インターネット セミナー 」の申込みを開始しました(放送開始は28日からです)。インターネット形式なので、今申し込んでおけば、好きな時間に好きな場所で見られます。申込みはこちら

    只今放送中です
    プログラム内容:

    • Slammerワームの特徴 1 〜 4
    • 対処方法
    • 駆除ツール(スティンガー)

2003/1/27 更新

    「ウイルス絵とき理解」にこのウイルスの絵ときをのせました。詳しくはこちら


このワームは、サービスパック3を当てていない以下のSQLサーバのユーザーにとってのみ、「危険度:高」です。

  • Microsoft SQL Server 2000
  • Microsoft Desktop Engine (MSDE) 2000

・SP3で起動しないSQLサーバに適用できるパッチの全リストは、Microsoft Technetをご覧ください。

このワームは、パッチを当てていないSQLサーバのメモリの中にのみ存在します。システムからシステムへと移り歩くことだけを目的にしたワームであり、破壊的な発病はありません。

このワームはUDPポート1434番のトラフィックの増大をもたらします。SQLサーバ間で感染を続けます。

ワームのこうした挙動のせいでネットワークが極度に増えるため、ネットワーク内のシステム全てのパフォーマンスに悪影響が与えられることがあります。

このワームは、サーバ解決サービスのバッファ・オーバーフロー(MS02-039)を悪用して、感染先サーバの制御を奪い取ろうとします (詳細は、こちらのマイクロソフト情報またはCVEリストをご覧ください)。ただしサービスパック3を当ててあるSQLサーバはこのワームの影響を受けません。

ワームが送り込んでくる不正形式パケットは、サイズは376バイトに過ぎませんが、しかしこのわずか376バイトに全てのワーム機能が収められています。そのパケットには以下の文字列が含まれています

  • "h.dllhel32hkernQhounthickChGetTf"
  • "hws2"
  • "Qhsockf"
  • "toQhsend".
感染システムからは、ポート1434UDPに向けて、異常なまでに大量のトラフィックが送り込まれます。 このワームはファイルとしては存在するわけではありません。またINIファイルやレジストリキーの改変も行いません。このワーム(376バイト)のMD5チェックサムはA0AA4A74B70CBCA5A03960DF1A3DC878です。

このワームの本体はバイト04から始まりその後に01がしばらく続くという構成になっています。

これをSQLモニターが受信した場合、長大なレジストリキーネーム(HKLM\Software\Microsoft\Microsoft SQL Server\.....\MSSQLServer\CurrentVersion)が発生し、これがバッファあふれを起こします(このキーの中のドット列は、SQLモニタがアクセスしようとするレジストリキーブランチを表しています。SQLSlammer.wormにとっては、これらのバイトは、印字不可能な01の列です。この01列の前に04があります。これはリクエストの一種です)。 このバッファあふれによりスタック内の戻りアドレスが上書きされ、その結果、ワームコードが制御を受け取ることになります。この時ワームはSQLモニタの権限を継承することになります。

マシンの制御を獲得したワームは、ただちにWS2_32.DLLをロードし、ランダムに選んだIPアドレスに向けて自分自身をひたすら送付しつづけます。この動きは無限ループ状態で続きます。ワームが目標とするIPはGetTickCount' API を使って構築されます。つまりこのIPは純粋にランダムなアドレスとなります(例えばローカルサブネットに偏るようなことはありません)。

このような繁殖方法を取っているということは、非常に大量のリクエストがインターネット全体に雪崩れこみ、それによってネットワーク帯域が無用に消費されることを意味します。

なおこのワームはメモリ内にのみ存在します。ローカルマシンのファイルを改変するようなことはありません。



対処方法

    以下の対処方法を推奨します。

    1. UDP1434への受信をファイアウオールで止めてください

    2. マイクロソフトが発行しているサービスパック3をシステムに当てた上で、マシンを再起動してください。これによりメモリ内のワームが一掃されます。またその後の再感染も防ぐことができます。

    これ以外の当座対処としてはスティンガー駆除プログラムを使うこともできます。ダウンロードはこちら