Inscriptions | Discussions | Enquêtes | Plan du Site




Toutes les Menaces

Virus

Hackers

Spams
Whole site    Viruses
  
Encyclopédie Virus
Alertes
Analyses
News
Glossaire


Environnement du Malware
Descriptions du Malware
Qui se cache derrière le Malware
Historique du Malware
Tendances du Malware
Si votre ordinateur est infecté

 
A propos des Hackers
A propos des Hackers

Tout ce qu'il faut savoir sur les hackers et les vulnérabilités dans notre section Hackers et Vulnérabilités.
A propos du Spam
A propos du Spam

En savoir plus sur les spams et les spammeurs dans notre section A propos du Spam.

 		 

  Home / Virus / Encyclopédie Virus

Net-Worm.Win32.Slammer

Aliases
Net-Worm.Win32.Slammer (Kaspersky Lab) is also known as: Worm.SQL.Slammer (Kaspersky Lab), W32/SQLSlammer.worm (NAI),   W32.SQLExp.Worm.dump (NAV),   W32/SQLSlam-A (Sophos),   Win32/SQLSlammer.worm (RAV),   SQLSLAMMER.A (PCCIL),   Worm/SQL.Slammer.dmp (H+BEDV),   SQLSlammer.A (FPROT),   Win32:SQLSlammer (AVAST),   SQLSlammer (AVG),   Win32.Worm.SQL.Slammer.A (BitDef7),   W32/SQLSlammer (Panda),   Win32/SQLSlammer.A.image (Nod32)
Description added 04 Aug 2006
Comportement Net-Worm, ver Internet
Détails Techniques
Slammer (aussi connu sous les noms de Helkern et Sapphire) est un ver Internet de très petite taille (376 octets seulement) qui affecte Microsoft SQL Server 2000. Afin de s'infiltrer dans une machine victime, ce ver exploite une vulnérabilité de dépassement de mémoire tampon (buffer overrun vulnerability).

Lorsque le ver atteint un serveur SQL vulnérable, il obtient le contrôle de trois fonctions Win32 API :


GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)

Puis le ver envoie son code (via la commande "sendto" - "envoyer vers") vers des adresses IP aléatoires du réseau (en utilisant les données aléatoires de la commande "GetTickCount") via le port 1434 et entame une diffusion en boucle .

Le ver envoie des paquets multidiffusion, autrement dit avec une seule commande "envoyer vers", ce sont les 255 ordinateurs du sous-réseau qui sont touchés. Par conséquent, ce ver se propage 255 fois plus vite que tout autre ver connu à l'heure actuelle.

Du fait que les serveurs MS SQL sont très souvent utilisés en tant que base de données sur les serveurs Web, ce ver peut ralentir le fonctionnement d'Internet à l'échelle mondiale, puisque tous les serveurs infectés essaieront sans cesse de se connecter à d'autres machines sélectionnées au hasard.

Le ver se trouve uniquement en mémoire et il se diffuse de mémoire de machine infectée en mémoire de machine infectée. Il ne crée aucun autre fichier et ne se manifeste d'aucune autre manière.

Voici un mix de texte visible dans le corps du ver :

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend

Dépassement de mémoire tampon

Cet exploit porte le nom suivant :
Unauthenticated Remote Compromise in MS SQL Server 2000

Les systèmes concernés sont :
Microsoft SQL Server 2000, tous les Service Packs

Cette brèche de sécurité a été identifiée en juillet 2002.

Vous trouverez de plus amples informations ici :
Microsoft Security Bulletin MS02-039
NGSSoftware Insight Security Research Advisory

Le patch correctif pour MS SQL Server 2000 est disponible sur le site de Microsoft.

 

Copyright © 1996 - 2009
Kaspersky Lab
Industry-leading Antivirus Software
All rights reserved
 

Email: webmaster@viruslist.com