米Network Associatesの一部門であるAVERT(Anti-Virus Emergency Response Team)が米国時間1月25日に,ワーム「W32/SQL Slammer」について警告を発した。同社による危険度の評価は「高」。

 Slammerは米Microsoftのサーバー・ソフトウエア「SQL Server 2000」のセキュリティ・ホールを利用しようとする。UDPポート1434番に大量のトラフィックを送りつけ,SQL Server 2000搭載サーバー間で繁殖を試みる。AVERTでは,25日朝のSlammer検出以来,世界中で数百台のサーバーが感染したとの報告を受け取っているという。

 Slammerが利用するのはSQL Server 2000のバッファ・オーバー・フローの欠陥だが,「Service Pack 2」または「Service Pack 3」をインストールしているサーバーには感染しない。Slammerはサイズが376バイトで,以下の文字列を含んでいる。

     h.dllhel32hkernQhounthickChGetTf
     hws2
     Qhsockf
     toQhsend

 処置方法は,Microsoft社が提供しているパッチ「MS02-034」または「MS02-039」を適用し,再起動すること。この作業によりワームはメモリーから消去され,再感染を防ぐことができる。MS02-034やMS02-039は,Microsoft社WWWサイトから入手可能。

 Slammerの詳細な情報は,Network Associates社のAVERTのWWWサイトをはじめ,アンチウイルス・ベンダー各社のWWWサイトで掲載している。

◎関連記事
【緊急対策:世界規模のネット障害】原因はSQL Serverのホールか,ユーザーは対策を急げ
衝撃のネット障害,再発防止のために――SQL Serverのセキュリティ・ホールを解説する
「ますます巧妙になるワームの手口,2002年も対策を怠るな」---専門家が警告
<“SQL Serverのセキュリティ・ホール”>
またもやSQL Server関連のセキュリティ・ホール,原因はMDACコンポーネント
【今週のSecurity Check】管理者は必見!SQL Serverのセキュリティを解説する
次々見つかるSQL Serverのセキュリティ・ホールに,米CERT/CCが改めて警告
SQL Server 2000にセキュリティ・ホール,任意のコードを実行される
SQL Serverを狙うワームが流行中,デフォルト・アカウントで侵入を試みる

[発表資料へ]