Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat


VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.

W32/SQLSlammer. El culpable del mayor ataque a Internet
 
VSantivirus No. 933 - Año 7 - Domingo 26 de enero de 2003

W32/SQLSlammer. El culpable del mayor ataque a Internet
http://www.vsantivirus.com/sqlslammer.htm

Nombre: W32/SQLSlammer
Tipo: Gusano de Internet
Alias: SQL Slammer Worm, Sapphire, Slammer, W32.SQLExp.Worm, DDOS.SQLP1434.A, SQL Slammer Worm, W32/SQLSlam-A, W32/SQLSlammer, W32.SQLExp.Worm, DDOS_SQLP1434.A, W32/SQLSlammer.A, Win32.SQL.Slammer.376, WORM_SQLP1434.A, SQLP1434.A, Worm.SQL.Helkern
Plataforma: Microsoft SQL Server 2000
Tamaño: 376 bytes
Fecha: 25/ene/03

Este gusano se propaga a través de los servidores Microsoft SQL bajo Windows 2000, que no han sido actualizados con el parche correspondiente. Durante la infección, el gusano se mantiene activo en memoria solamente, no se copia a ningún archivo. Un antivirus actualizado debería neutralizarlo allí, u obligar a resetear la computadora. No todos los antivirus escanean la memoria (estamos hablando de antivirus a nivel de servidor).

También un reinicio del sistema acaba con la infección, ya que quita al gusano de la memoria. Pero el mismo volverá a infectar la computadora que acepte sus falsas solicitudes SQL, a menos que se instalen los parches respectivos, los que además están disponibles desde julio del año pasado.

Este gusano solo tiene como objetivo propagarse, y no posee ninguna carga destructiva. Sin embargo, es notorio el daño que puede causar a la red, debido a su forma de actuar, que provoca ataques masivos de negación de servicio (ver "Estados Unidos Bajo Ataque D.D.o.S Masivo", http://www.vsantivirus.com/ataque-puerto1434.htm).

No compromete directamente al usuario individual, debido a que no infecta computadoras personales, solo servidores SQL bajo Windows 2000 (Microsoft SQL Server 2000 y Microsoft SQL Server Desktop Engine (MSDE)).

Sin embargo, cómo el MSDE es desplegado no solo con el software del SQL, sino también en Visual Studio .NET y Office XP Developer Edition, el gusano podría propagarse más allá de los servidores SQL.

Algunos lo comparan, debido a su rápida propagación, al CodeRed. Sin embargo, ni siquiera ese gusano causó tanto impacto en la red global como lo ha hecho ahora el SQLSlammer en tan poco tiempo, y ocupando solo un poco más de 300 bytes (en assembler).

El gusano compromete a la computadora infectada de las siguientes formas:

1. Abre un socket Netbios para enviar el paquete de datos

2. Hace uso de la función API, "GetTickCount" (KERNEL32.DLL), para generar un número IP al azar al que envía el paquete del virus.

3. Se envía repetitivamente a todas las direcciones IP generadas y al puerto 1434/udp.

Esta es la característica que vuelve peligroso a este gusano, su capacidad de enviar en forma repetitiva y continua paquetes a diferentes direcciones IP, ocasionando ataques de denegación de servicio (D.o.S) (no hay ninguna rutina de espera, simplemente se ejecuta sin detenerse).

Además, el gusano envía paquetes en forma de "multicast". Con un solo comando "send" se envía al mismo tiempo a las 255 máquinas posibles de cada subred. Como resultado, el gusano resulta ser hasta 255 veces más rápido al propagarse que otros gusanos conocidos hasta el momento.

El paquete, o sea el propio gusano, ocupa solo 376 bytes, y en su código pueden verse los siguientes textos:

h.dllhel32hkernQhounthickChGetTf
hws2
Qhsockf
toQhsend
Qh32.dhws2_f
kernel32.dll
GetTickCount
ws2_32.dll
socket
sendto

El cuerpo del gusano comienza con el byte "04" seguido de una larga serie de "01". Cuando estos bytes son recibidos por el SQL Monitor, se genera una larga clave del registro de Windows que provoca un desbordamiento de búfer en el MsSQL y la carga del gusano.

Una vez que el gusano toma el control de la computadora atacada, carga el archivo del sistema WS2_32.DLL, que contiene las funciones para la rutinas de envío, y comienza a enviarse continuamente a una serie de direcciones IP seleccionados al azar, y en un bucle que solo culmina cuando se reinicia el servidor.

La IP de la víctima es confeccionada por el gusano utilizando la función API "GetTickCount", también al azar.

Esta forma de propagación consume una gran cantidad de ancho de banda por la enorme cantidad de peticiones hechas a Internet.

El gusano existe solamente en la memoria de la máquina infectada y no modifica ningún archivo en forma local.

Este gusano fue detectado por primera vez el 25 de enero de 2003 a las 5.30 GMT en países asiáticos (principalmente Corea del Sur, sudeste de Asia, Japón e India) y su acción fue fulminante (a las 5.45 GMT en VSAntivirus.com sufríamos los efectos al quedar inaccesible nuestro servidor ubicado físicamente en Nueva York).

SQLSlammer genera una masiva cantidad de paquetes que transmite a la red, sobrecargando servidores y routers y enlenteciendo notoriamente el tráfico al disminuir el tiempo de respuesta de los servidores, que no pueden procesar la gran cantidad de solicitudes recibidas y producidas por el propio gusano.

El resultado más notorio hasta el momento fue la caída de al menos 5 de los 13 servidores de nombres raíz (DNS servers), por la cantidad de requerimientos para resolver direcciones IP.

El gusano solicita los parámetros como host, puerto y versión del SQL. Utiliza comandos shell para pedir direcciones de retorno al código del gusano, y ejecutarse en memoria.

Cómo no infecta ni modifica ningún archivo en los discos del sistema, los antivirus que no realicen un escaneo en la memoria no podrán detectarlo.

La solución efectiva contra el gusano, pasa por aplicar los siguientes parches al servidor y luego reiniciarlo para quitar el gusano de la memoria:

http://www.microsoft.com/technet/security/bulletin/MS02-034.asp
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

Otra solución, bloquear el puerto UDP 1434 con el cortafuegos.

No son vulnerables aquellos servidores en que se haya instalado el SQL Server Service Pack 3.

La vulnerabilidad está relacionada con el servicio SSRS (SQL Server Resolution Service) que permite ejecutar múltiples búsquedas en la misma máquina. Este servicio escucha peticiones al puerto UDP 1434 y devuelve la dirección y el número del puerto del servidor SQL para proporcionar acceso a la base de datos cuando se hace una consulta.

Cuando el servicio SSRS recibe un mensaje, el servidor responde con un "ping" (o sea un paquete) al host que lo envía para confirmar su presencia en la red.

En una operación normal, este servicio es responsable de replicar con un único ping el mensaje recibido de un servidor SQL al puerto 1434. El paquete enviado por el gusano a través de dicho puerto (que contiene el código del propio gusano), provoca además un desbordamiento de búfer, lo que ocasiona la carga del gusano en la memoria de la nueva máquina.

El resultado de este ciclo es el consumo desmedido de recursos del servidor y el gasto del ancho de banda disponible. El proceso no se detiene hasta que se apaga el servidor o se cierra la conexión entre servidores de alguna forma drástica.

Existe una herramienta gratuita (Retina Sapphire SQL Worm Scanner), que facilita la búsqueda del gusano en computadoras involucradas (examina hasta 254 direcciones IP a la vez), y puede ser descargada del siguiente enlace (378 Kb): http://www.eeye.com/html/Research/Tools/RetinaSapphireSQL.exe

En caso de infección, puede utilizar la siguiente herramienta de Symantec ("FixSQLex" de 127 Kb) que quita el gusano de memoria: http://securityresponse.symantec.com/avcenter/FixSQLex.exe

Instale luego las actualizaciones del MsSQL Server 2000 para evitar volver a ser infectado.


Más información:

W32.SQLExp.Worm Removal Tool
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.removal.tool.html

Retina Sapphire SQL Worm Scanner from eEye Digital Security
http://www.eeye.com/html/Research/Tools/SapphireSQL.html

Cumulative Patch for SQL Server (Q316333) (jul/2002)
http://www.microsoft.com/technet/security/bulletin/MS02-034.asp

Buffer Overruns in SQL Server 2000 Resolution Service
Could Enable Code Execution (Q323875) (jul/2002)
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp

Elevation of Privilege in SQL Server Web Tasks (Q316333) (oct/2002)
http://www.microsoft.com/technet/security/bulletin/MS02-061.asp


Relacionados:

Estados Unidos Bajo Ataque D.D.o.S Masivo
http://www.vsantivirus.com/ataque-puerto1434.htm

Las preguntas que usted se hace sobre el W32/SQLSlammer
http://www.vsantivirus.com/sqlslammer-faq.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS