Новый саморазмножающийся вирус "SQL Sapphire Worm"

Обнаружен новый саморазмножающийся вирус, эксплуатирующий уязвимость в Microsoft SQL Server 2000. Недостаток, обнаруженный Next Generation Security Software в июне прошлого года (http://www.securitylab.ru/?ID=32123), позволяет удаленному атакующему выполнить произвольный код с системными привилегиями, посылая некорректный UDP запрос к 1433 порту.

Червь в процессе работы создает псевдослучайные IP адреса, и пытается заразить их. Код заражения не содержит никакого дополнительного злонамеренного содержания, типа backdoor и т.п., однако из-за природы червя и скорости, которой он пытается перезаражать уязвимые системы, червь может создавать DoS нападения против зараженных сетей.

Должно быть отмечено, что этот вирус не является аналогом прошлогоднего червя http://www.securitylab.ru/?ID=31011, который в качестве вектора распространения использовал SA/nopassword уязвимость в SQL сервере. Новый червь является более разрушительным, поскольку он эксплуатирует программно-определенный недостаток, а не ошибку конфигурации. За вчерашний день появилось множество сообщений о блокировании работы целых сетей, в основном расположенных в Южной Кореи.

Уязвимость можно устранить, установив SP3 (http://www.microsoft.com/sql/downloads/2000/sp3.asp) для SQL server 2000 или MS02-039.

Техническое описание червя:
1. Отыскивает адрес GetProcAddress и Loadlibrary от IAT в sqlsort.dll.
2. Вызывает gettickcount, и возвращает счетчик как начальное псевдослучайное число.
3. Создает UDP сокет
4. Исполняет простую псевдо формулу для получения случайного числа, используя возвращенное значение gettickcount, чтобы генерировать IP адрес, который будет позже использоваться как адресат.
5. Посылает код заражения к SQL Server Resolution Service на 1434 UDP порту.
6. Продолжает дальше генерировать псевдослучайные адреса и пытаться заражать их.