昨日活性化した新種のワームは速やかに解析されW32/SQLSlammerという名前でアナウンスされた。このワームは、件のMicrosoft SQL Server 2000の問題を突いてメモリ上にのみ感染し、ネットワークを通じた感染活動を行うがコンピュータ本体に対する破壊活動は行わないのが特徴。また一般ホームユーザーのパソコンに感染する危険性はまず無いと言っていい。
会社などでSQLを導入したサーバーを管理している人はまずファイアウォール等で1434/udpポートを閉鎖してから、![[External]](/~yano/parts/extlink.png)
SQL Server 2000 サービスパック 3を適用する必要がある。週末の休業日で落としているサーバーも少なくないであろう事から、月曜日に愚かなサーバーが立ち上がってワームが更に活発化する事も考えられるので要注意だ。
感染がメモリ上のみでファイルに及ばないという事から再起動するだけで簡単に駆除する事ができるのだが、ファイルアクセスしか検閲しない現在主流のアンチウィルス系ソフトでは検出されない可能性が高い。特に破壊活動も行わないしサーバーの稼働数が多少下がる週末を狙っている事から、感染対象を一般的に再起動しないサーバーに絞る事により「onメモリな攻撃も場合によっては有効である」事を示したいが為の悪意を持たないコンセプトウィルスではないだろうか?
何はともあれ昨夜はテレビ朝日系、フジテレビ系、日本テレビ系全国ニュースにおいてトップで扱われるなど社会的な関心の高さを思い知らされたが、クライアントまでがターゲットとなったCodeRedと並べて論ずるのはちょっと性急なんじゃないの?情報は正確にね(^_-)。
参照
●インターネット セキュリティ システムズ株式会社
-Microsoft SQL Slammer Worm Propagation
●Networks Associates
-W32/SQLSlammer
●ITmedia > エンタープライズ
-速報:UDP/1434ポート宛のパケットが急増、新種のワームの可能性も
-続報:犯人は「Slammer」――各社が新種のワームを警告
●マイクロソフトTechNetセキュリティセンター
-MS02-039: SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) 2002年7月25日
