W32.SQLExp.Worm ATTENZIONE: livello 3 attacca SqlServer2000

[amvinfe]

E' un virus che sfrutta la vulnerabilità del database "Sql Server 2000" Microsoft, fra i più diffusi nel mondo.
La grande portata dell'attacco del virus ha rallentato sia le visualizzazioni delle pagine internet che l'invio delle mail.
La Symantec afferma che nel mondo ci sono stati almeno 22000 sistemi colpiti.


http://securityresponse.symantec.co...qlexp.worm.html


Marco(amvinfe)

[Frengo78]

http://www.corriere.it/Primo_Piano/Scie ... irus.shtml

[dado]

La Stampa di oggi gli ha dedicato un articolo.
Leggete.

Altro link relativo è questo.

[piercing]

PRIMA PUNTATA (h. 12.00)

...e come faccio a sapere se me lo sono beccato?

non è un file, ma pare risieda solo in memoria...

ho provato con qualche tool di ricerca/rimozione, ma pare di no... che non ce l'ho...

Davo un'occhiata al SETI questa mattina... e l'ho trovato stranamente lento... vado sul taskmanager e vedo che sqlserver.exe tra i processi avviati occupa il 99% della CPU.... e mi dico.... "me lo sono beccato" (anche perchè mi sono collegato in rete via modem ultimamente e visto che questo è un PC della lan interna, molto probabilmente è aperto come una cozza). Beh, poco male mi dico, tanto non fà danni... ma mi voglio levare sto dubbio.

Comunque ho stoppato il servizio di SQLServer, ho riavviato il PC e ho fatto un bello scan con l'AV (Stinger della NAI). Ovviamente non ha trovato nulla.

Mica posso dormire co sto pensiero.... ne sapete qualcosa in più??


SECONDA PUNTATA (h.15.15 per la serie.... curiosity killed the cat)

Sto provando a farmi reinfettare... ho riavviato il servizio SQL ed in effetti mi sono fatto un port scan (Scanning dell'IP 62.98.198.58... Porta 1433 aperta...) e quindi potrei tranquillamente essere una delle vittime... sto solo aspettando che mi becchi... ehehhe... tengo sotto controllo il TaskManager (ho staccato il cavo di rete del PC.. non si sa mai... sono stand alone su internet col solo modem) e resto connesso... vediamo che succede... sembra che si propaghi su IP casuali... vediamo un pò che succede!

TERZA PUNTATA (h.15.54)

Ho notato, nonostante il taskmanager fosse silente (cioè CPU del processo a zero o quasi), che il compuerino della connessione ad internet (quello di invio) era quasi sempre acceso... ho dato un occhiata ai dati trasmessi e... 27MB inviati e 2MB ricevuti in un ora e 13 minuti di connessione....
mi si è accesa la lampadina... e infatti ho riavviato Stinger ed eccolo là...

Codice: Seleziona tutto

Scan initiated on Sun Jan 26 15:52:40 2003
C:\Programmi\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

     Found the W32/SQLSlammer.worm virus !!!

C:\Programmi\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe has been repaired.

C:\Programmi\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe

     Found the W32/SQLSlammer.worm virus !!!

C:\Programmi\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe has been repaired.

  Number of clean files: 840

  Number of files repaired: 1

Evvai... almeno mi sono levato il dubbio...
Quindi se volete qualche info chiedetemi pure!!


PS: pensate quei poveri utenti che pagano la connessione a traffico di dati effettuata... in una notte saranno riusciti a fare 100000000000EUR di traffico!! hihihihi

[BianConiglio]

http://it.trendmicro-europe.com/enterpr ... SQLP1434.A

sta tartassando di brutto....io nn mi posos iscrivere all'esame di mate....il sito dell'uni è down.

[dado]

Chi fosse stato infettato da qs virus e volesse sbarazzarsene, ecco il removal tool apposito rilasciato da symantec con relative istruzioni d'uso.

[piercing]

dado... non esiste removal tool... ho già fatto gli esperimenti.... per levare basta spegnere il pc, patchare il SQL server e ripartire... è residente in memoria... quindi che te vuoi rimuovere??

L'ho già preso, rimosso, ripreso e ririmosso.... guarda la storia a puntate... eheheh

cmq si preoccupi solo chi ha SQLserver installato sul PC, anche solo gli strumenti desktop (ed ovviamente con il PC con la porta 1433 aperta su internet).

[piercing]

ho appena visto sul tg2 un servizio sull'attacco di oggi del virus SQ HELL che avrebbe bloccato 14000 uffici postali
l'esperto per spiegarlo ai profani ha detto che "è come se un solo utente ricevesse contemporaneamente milioni di telefonate"... cioè sarebbe un attacco denial of service? il virus si installa sui computer di utenti ignari e ad una certa ora prova a collegarsi al sito delle poste?

Non proprio così... l'esperto ha fatto poco l'esperto... in realtà credo che i server delle poste, attaccati dal virus, si siano messi a provare a fare milioni di connessioni in giro per il mondo per trovare altri computer da infettare.... creando ovviamente un traffico di rete tale da avere un DoS (Denial of Service), cioè un interruzione di servizio per saturazione di risorse (in questo caso di banda disponibile).

Provate a indovinare il partner tecnologico delle infrastrutture informatiche delle poste...

[pjfry]

vabbè magari voleva dire questo,non era facile spiegarlo a tutti... ma il nome vi risulta o se lo sono inventato in rai per fare + paura?

[piercing]

Questi sono alcuni dei nomi attribuiti a questo virus:

Slammer Worm (Microsoft)
W32/SQLSlammer.worm (Network Associates)
DDOS_SQLP1434.A (Trend)
Sapphire (F-Secure, eEye)
W32.SQLExp.Worm (Symantec)

Altra nota è la seguente:
Non tutti i server SQL sono ad oggi patchabili con la SP3 (fossi un'azienda con miriadi di dati su SQL non la metterei neanche sotto tortura...). Esiste quindi il singolo hotfix senza che debba essere installata tutta la service pack. Da notare che viene descritta, con tanto di codici, la possibilità di riprodurre il bug.... (fosse mai che l'inventore di Slammer abbia preso spunto proprio da qui??)

Ulteriore nota... la genesi di questa patch è stata un vero casino:

Microsoft originally released this bulletin and patch on October 16, 2002 to correct a security vulnerability in a SQL Server stored procedure. The patch was and still is effective in eliminating the security vulnerability, and includes the fix for the vulnerability exploited by the "Slammer" worm virus (Note: Slammer affects only SQL Server 2000 and MSDE 2000). However, while the patch was fully effective in eliminating the security vulnerability, in October, 2002, it was found to interfere with SQL Server operations under some circumstances. As a result, on October 30, 2002, an additional non-security hotfix (317748) was required to ensure normal operations of SQL Server.

In order to simplify the process by which customers update their systems, Microsoft has now re-released the patch for SQL Server 2000. The patch for SQL Server 2000 was re-released to help customers patch their systems in response to the "Slammer" worm virus. The re-released patch integrates the original security patch released with this bulletin and the hotfix discussed in Microsoft Knowledge Base article 317748 that was released to ensure the correct operation of SQL Server. The re-release has been packaged with a new SQL Server patch installer. The installer eliminates the need for system administrators to copy SQL Server files onto their systems manually. The only changes that Microsoft has made to this patch were to incorporate the hotfix discussed in Microsoft Knowledge Base article 317748 into the re-released patch and to package the patch with an installer.

Customers who have not already applied the patch originally released with this bulletin should apply the re-released patch. Customers who have already applied to their SQL 2000 systems both the original security patch and hotfix 317748 do not need to apply this re-released patch – the original patches are effective in ensuring correct operation of SQL Server and in protecting SQL Server systems (including protection from the Slammer worm). Customers who have applied only the original version of this patch should consider applying the hotfix discussed in Microsoft Knowledge Base article 317748, subject to the caveat discussed in the FAQ and caveats sections below.

[Frengo78]

Hai perfettamente ragione pier. Oggi ho provato a lanciare il service pack sul mio portatile. L'installazione si è interrotta per un errore non specificato.

[dado]

dado... non esiste removal tool...

Io semplicemente riportavo quanto detto da symantec...

[piercing]

dado... non esiste removal tool...

Io semplicemente riportavo quanto detto da symantec...

Il "removal" esiste... intendevo dire che non c'è niente da rimuovere, non è un worm classico tipo file, ma è semplicemente un programmino residente in memoria, che quindi viene rimosso facilmente. In pratica viene controllato se esiste il file e se esiste viene killato.
A questo punto se non si patcha il SQL server a riprendersi il WORM ci vogliono circa 30 secondi...