Worm.Sql.Helkern
También conocido com SQLSlammer.
Este gusano de Internet es sumamente pequeño (solamente 376 octetos) y afecta únicamente servidores Microsoft SQL.
Para entrar en la máquina víctima utiliza una conocida vulnerabilidad. Cuando el gusano entra en una máquina vulnerable toma el control (utilizando un truco de desbordamiento de buffer) utiliza tres funciones API Win32
- GetTickCount (KERNEL32.DLL)
- socket, sendto (WS2_32.DLL)
El gusano utiliza entonces un contador mediante la función GetTickCount y entra en un bucle de difusión infinito. En el bucle de difusión el gusano se envía a sí mismo a direcciones IP elegidas de forma aleatoria (que dependerán del contador) a los puertos de MS SQL 1434.
El gusano utiliza únicamente memoria y se extiende desde la memoria de una hasta otra. No deposita archivo alguno en disco, ni se manifiesta de ninguna otra forma.
Hay determinadas cadenas de texto visibles en el código fuente del gusano (mezcladas con el código del mismo):
- h.dllhel32hkernQhounthickChGet
- Qh32.dhws2_f
- etQhsockf
- toQhsend
Desbordamiento de Buffer:
El desbordamiento de buffer que utiliza este gusano tiene el siguiente nombre:
Unauthenticated Remote Compromise in MS SQL Server 2000
Los sistemas afectados son:
- Microsoft SQL Server 2000, all Service Packs
Este fallo de seguridad fue encontrado en Julio de 2002 y posteriormente corregido en los "MS SQL Server 2000" patches.
Puede leer más sobre este fallo en:
- Microsoft Security Bulletin MS02-039:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
- NGSSoftware Insight Security Research Advisory:
http://www.nextgenss.com/advisories/mssql-udp.txt
- El parche para MS SQL Server 2000 está disponible en:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
Más de 10 años como Distribuidor Oficial de Kaspersky Lab
