Net-Worm.Win32.Slammer (Kaspersky Lab)
は以下の名称でも知られています:
Worm.SQL.Slammer (Kaspersky Lab),
W32/SQLSlammer.worm (McAfee), W32.SQLExp.Worm.dump (Symantec), W32/SQLSlam-A (Sophos), Win32/SQLSlammer.worm (RAV), SQLSLAMMER.A (Trend Micro), Worm/SQL.Slammer.dmp (H+BEDV), SQLSlammer.A (FRISK), Win32:SQLSlammer (ALWIL), SQLSlammer (Grisoft), Win32.Worm.SQL.Slammer.A (SOFTWIN), W32/SQLSlammer (Panda), Win32/SQLSlammer.A.image (Eset)
Helkern (Helkern 、Sapphire) は、マイクロソフト SQL サーバ 2000 に影響を及ぼす極めて小さい(丁度 376 バイト)インターネットワームです。ワームは、犠牲PCに侵入するために、バッファーオーバーランの脆弱性を搾取します。(下記参照)
ワームのコードは、脆弱性の SQL サーバに侵入する時に、コントロール(バッファーオーバーランのトリックを使って)3つの Win32 API 関数を仮定します。
GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)
ワームは、その時、GetTickCount 関数を使ってランダムなカウンターを得て、無限に広がるか「感染」のループに入ります。ワームは、広がるループで、MS SQL ポート 1434 でランダムな IP アドレス(ランダムなカウンターに依存)にそれ自身を送ります。
ワームは、サブネットで「send」コマンドがヒットする全ての 255 台のPCに、マルチキャストパケットを送ります。結果、このワームは、知られている他のどのワームよりも 255 倍速く広がります。
何故なら、SQL サーバは、しばしばウェブサイトで使われ、このワームは、グローバルインターネット DoS 攻撃を引き起こすかも知れません。感染されたサーバは、無限ループで他のランダムに選ばれたPCに接続を試みるでしょう。これは、グローバルインターネットトラフィックオーバーフローを引き起こすでしょう。
ワームは、メモリにのみ留まり、感染させられたPCのメモリから犠牲PCのメモリに広がります。ワームは、ファイルを生成せず、いかなる方法でもそれ自身を明らかにしません。
ワームのコード(ワームのコードとデータの混合)に、目に見えるテキスト文字列があります。
h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend
バッファーオーバーフロー
このバッファーオーバーランの搾取は、下記の名前を持っています。
Unauthenticated Remote Compromise in MS SQL Server 2000
影響を及ぼされるシステムは、Microsoft SQL Server 2000 と全てのサービスパックです。
このセキュリティの脆弱性は、2002年7月に見つけられ、「MS SQL Server 2000」のパッチで修正されました。
この脆弱性の詳細については、「MS02-039」(SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される) をご覧ください。
この累積的な更新プログラムは、「MS02-061」(SQL Server Web タスクで権限が昇格する) でリリースされた更新プログラムに含まれています。
