この SQL slammer は
2003 年に発生した Server または
MSDEに含まれるバッファオーバーフローの脆弱性をついて
感染するワーム
このワームは
UDP 1434 ポートを利用して感染を広げ
感染したPCも同じパケットをコピーして
ランダムなIPに攻撃を繰り返す
典型的感染パターンをもつ
ワームに感染したときの特徴
PCが大量の
UDPパケットを放出するので、
ネットワーク全体が過負荷になり通信不能になる
ハブのアクセスランプから
多量の通信が発生しているのは確認できるけど
感染PCを再起動すると、元に戻ってしまう
これは、このワームがメモり常駐型のため
再起動すると消滅するため
しかし、脆弱性がそのままだとまたそのうち感染してしまう
こういったタイプの感染の場合
再起動するとウイルスはいないため
ウイルススキャンしてもなにも発見できないということになってしまう
こんなときには wireshark でパケット解析をするとよいらしい
まとめtyaiました【SQL slammer について】
この SQL slammer は2003 年に発生した Server またはMSDEに含まれるバッファオーバーフローの脆弱性をついて感染するワームこのワームはUDP 1434 ポートを利用して感染を広げ感染したPCも同じパケットをコピーしてランダムなIPに攻撃を繰り返す典型的感染パターンをもつ?…