【W32.SQLExp 概要】
このウイルスはMicrosoft SQL 2000およびMicrosoft Desktop Engine(MSDE) 2000(以下対象データベース)
の脆弱性によって感染、拡大をするものです。
感染後は無差別に相手を選定し、自身の複製(ウイルス本体)を送信します。
この際、送信先は完全にランダムに決定され、
(存在しないIPアドレスや感染環境を持たない通信機器や機体に対しても接続を要求します。)
受信先が以下の条件を満たしているときにのみ感染します。
・要求パケットが対象まで到達できること。(ポートが開放状態にあること)
・対象が感染の可能性がある種類のサーバであること。
・対象が対象データベースを運用中であること。
・データベースに対してセキュリティ対策が施されていないこと。
そして、感染したサーバは、また新たに複製を無差別に放出することになります。
結果として、乱反射する膨大な数の接続要求はネットワークを混雑させ、
データの送受信が困難になります。(Dos攻撃と同様の状態が発生します)
また、 感染要求が送られてくること自体は防ぐ手だてがないため、
負荷に耐えられなくなったネットワーク機器・端末から障害が発生、
該当するネットワークエリアが断線します。
横浜市立大学では対象となるサービスを複数台にて運用しておりますが、
感染経路となるポートを内・外ファイヤーウォールにてフィルタリングしているため、
SQLExpによる接続要求は確立されず、全て破棄されます。
また、運用中の同サーバに対してはセキュリティパッチが適用されております。
以上のことからSQLExpによる被害については発生しないものと考えられます。
【新種ウイルス W32.SQLExp.worm】
ネットワーク感染型のウイルスで、無差別に対象を選定し、接続を試みます。
接続が確立された場合、複製を相手に対して送信します。
感染の際に利用される脆弱性は既知のもので、
以前よりMicrosoft社が配布していたセキュリティパッチの適用により
該当セキュリティーホールを塞ぐことが出来ます。
【サーバ管理者】
感染経路・対象となる環境が一定、かつ非常に限れていますので、
SQLを運用していない場合や緊急時の対策としては
ルータやファイヤーウォール等の(外縁部)にて1434ポートをフィルタリングし、接続要求を破棄することが有効です。
サーバの運用を継続する場合は、Microsoft SQL 2000
およびMicrosoft Desktop Engine(MSDE) 2000にSP3、
セキュリティパッチをインストールして下さい。
また、このウイルスはメモリ常駐型で、ディスクデータの改変は行いません。
そのため、侵入時の検知は非常に困難です。
各サーバの管理者はサービスの運用状況等から確認してください。
万一、感染が確認された場合はケーブルを抜き、
上記対策の実行と各社より配布されているツールを併用し、駆除をお願いします。
また、ポート番号の改変等、亜種が発生する可能性もあります。
1434ポートだけではなく、不用なポートの閉塞とセキュリティ対策を施してください。
特に同様の機能をサポートする周辺のポートは間をおかずに攻撃対象となる事と思われます。