ชื่อ : W32.SQLExp.Worm
ค้นพบเมื่อ : 24 มกราคม 2546
ชนิด : หนอนอินเทอร์เน็ต (worm)
ชื่ออื่นที่เป็นที่รู้จัก : SQL Slammer Worm, DDOS.SQLP1434.A, W32/SQLSlammer
ระดับความรุนแรง : สูง

มีผลกระทบต่อเครื่องที่ติดตั้ง

1. Microsoft SQL Server 2000
2. Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3

W32.SQLExp.Worm เป็นหนอนที่มุ่งโจมตีและมีผลกระทบเฉพาะเครื่องเซิร์ฟเวอร์ที่รัน Microsoft SQL เท่านั้น หนอนชนิดนี้ทำงานอยู่ในหน่วยความจำเท่านั้น ดังนั้นจึงทำให้โปรแกรมป้องกันไวรัสไม่สามารถตรวจจับได้

หนอนชนิดนี้ทำการส่งข้อมูลขนาด 376 ไบต์ไปยังพอร์ด 1434/udp (เป็นพอร์ต SQL Server Resolution Service Port) เริ่มตั้งแต่เวลา 5:31 am GMT (12:31 น. เวลาประเทศไทย) ของวันที่ 25 มกราคม 2546 เป็นจำนวนมาก ระหว่างเครื่องเซิร์ฟเวอร์ที่ให้บริการ MS-SQL ทำให้ระบบเครือข่ายใช้งานไม่ได้ เป็นการโจมตีแบบ Denial of Service (DoS)

หนอนชนิดนี้โจมตีผ่านช่องโหว่ที่เรียกว่า ไมโครซอฟต์ SQL server 2000 มี stack overflow ใน SQL Server Resolution Service

เมื่อหนอน W32.SQLExp.Worm ติดเครื่องแล้วจะมีการทำงานดังนี้

1. เปิดซ็อกเก็ตของ netbios เพื่อให้หนอนทำการส่งแพ็กเก็ต
2. ใช้งานฟังก์ชั่น API ของวินโดวส์ ที่ชื่อ GetTickCount เพื่อที่จะสุ่มหมายเลข IP สำหรับการส่งหนอน
   
3. ทำการส่งตัวหนอนเองไปยังทุก IP ที่สุ่มขึ้นผ่านทางพอร์ต 1434/udp

1. ทำการตรวจสอบว่าในระบบที่ใช้งานอยู่มีการใช้งานโปรแกรมต่อไปนี้หรือไม่
   • Microsoft SQL Server 2000
   • Microsoft Desktop Engine (MSDE) 2000 ที่ไม่ได้ติดตั้ง Service Pack 2 และ 3
2. ถ้าหากพบให้ทำการถอดเครื่องดังกล่าวออกจากเครือข่าย ทำการสำรองข้อมูลที่อยู่ในเซิร์ฟเวอร์ MS-SQL แล้วทำการอัพเดต patch MS02-034 MS02-039 และ MS02-061 จากนั้นทำการรีสตาร์ทเซิร์ฟเวอร์

   หมายเหตุ สามารถดาวน์โหลด patch ได้จากเว็บไซต์ ThaiCERT MS02-034 MS02-039 และ Service Pack 3

   วิธีการกำจัดหนอนแบบอัตโนมัติ

   1. ดาวน์โหลด fix tools ชื่อ SYSCLEAN.COM และอ่านวิธีการใช้งานได้ที่ http://www.trendmicro.com/ftp/products/tsc/readme.txt

วิธีป้องกันตัวเองจากไวรัส

1. ติดตั้งโปรแกรมป้องกันไวรัส และต้องทำการปรับปรุงฐานข้อมูลไวรัสเป็นตัวล่าสุดอยู่เสมอ
2. สร้างแผ่นกู้ระบบฉุกเฉิน (Emergency disk) ของโปรแกรมป้องกันไวรัส และปรับปรุงฐานข้อมูลในแผ่นอยู่เสมอ
3. ทำการสำรองข้อมูลในเครื่องอยู่เสมอ และเตรียมหาวิธีการแก้ไขเมื่อเกิดเหตุขัดข้องขึ้น
4. ติดตามข่าวสารแจ้งเตือนเกี่ยวกับไวรัสต่างๆ
5. ระงับการให้บริการของไมโครซอฟต์ SQL
6. ป้องกันการร้องขอ การเชื่อมต่อผ่านทางพอร์ต 1434/udp โดยใช้ไฟร์วอลล์ อ่านรายละเอียดเพิ่มเติม การตั้งค่าไฟร์วอลล์ในระบบปฎิบัติการ Windows 2000

ช้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.html
• http://vil.mcafee.com/dispVirus.asp?virus_k=99992
• http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=DDOS_SQLP1434.A
• http://www.microsoft.com/security/slammer.asp

*** ผู้เขียนขอสงวนสิทธิ์ในการเสนอแนวทางป้องกันเบื้องต้น และวิธีการดังกล่าวไม่จำเป็นต้องได้ผล 100% ***

เผยแพร่โดย ThaiCERT เมื่อ 25 มกราคม 2546 21:41
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 26 มกราคม 2546 18:30

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์