W32.SQLExp.Worm – az utóbbi idők legveszélyesebb féregvírusa!

A féreg paraméterei

Felfedezésének ideje: 2003. január 24.
Utolsó frissítés ideje: 2003. január 25.
Veszélyeztetett operációs rendszerek: Windows 9x/NT/2k/XP/Me
Nem érintett operációs rendszerek: Windows 3.x, Macintosh, Unix, Linux, OS/2
Mérete: 376 byte
Fertőzések száma: 1000-nél több
Földrajzi elterjedtsége: magas
Károkozás mértéke: alacsony
Eltávolítása: könnyű

További részletek

A féreg semmiféle radikális újítást nem használ, ˝csupán˝ a Microsoft SQL szervereiben levő, ismert hiányosságokat aknázza ki (ezekre egyébként már jó ideje letölthető javítás). Terjedésének nagy üteme elsősorban annak köszönhető, hogy számos olyan szerver található a Világhálón, amelyre nem telepítették a hibákat javító patcheket, így gyakorlatilag védtelenek maradtak.

Maga a féreg egyébként a Windows API funkcióját, a GetTickCountot használja arra, hogy véletlenszerűen előállítson egy IP-címet, amelyre aztán elküld egy fertőző csomagot. Ismétlődően elküldözgeti magát az összes IP-címre, amit legenerált a 1434-es UDP porton keresztül. Ez tulajdonképpen egy Denial of Service támadásnak is felfogható, hiszen a célrendszereket olyan mértékben terheli le, hogy azok nagyon belassulnak, esetlegesen le is fagyhatnak.

A Symantec külön eltávolítóeszközt hozott létre, amely képes eltüntetni a férget a fertőzött rendszerből – ez a kapcsolódó linkeknél letölthető.