이름

Worm/SQL_Slammer

바이러스 종류

Worm

실행환경

Windows with MS-SQL Server

증상요약

null

위험등급

null

확산방법

null

치료방법

* 터보백신 제품군(Ai, Windows Server, Online, 2001) 을 실행할 경우 Worm/SQL_Slammer 의 공격 대상 인지 아닌지의 취약점 여부를 자동으로 체크해 주므 로 체크되지 않은 컴퓨터는 공격대상에 해당되지 않 는 일반 PC 이거나 이미 [MS-SQL Server Service Pack 3] 를 설치한 컴퓨터인 경우이다.<br><br> * MS-SQL Server 를 설치한 Windows 운영체제를 사용 하는 서버는 [SQL Server 2000 Service Pack 3] 를 다 운받아 설치한후 서버를 재부팅하면 치료된다. <br><br>한글버전:<br> <a href="http://www.microsoft.com/korea/sql/downloads/2000/sp3.asp"><font color="blue">http: //www.microsoft.com/korea/sql/downloads/2000/sp3.asp</font></a> <br><br>영문버전:<br> <a href="http://www.microsoft.com/sql/downloads/2000/sp3.asp"><font color="blue">http://www. microsoft.com/sql/downloads/2000/sp3.asp</font></a>  

※ 상세 설명

MS-SQL Server 가 설치된 Windows 운영체제를 대상으로 공격하며, 1월 25 일 에 발생했던 국내 ISP 업체의 DNS 서버 마비로 인한 인터넷 장애를 발생 시켰던 웜이다. 일반 PC 사용자는 일반적으로 MS-SQL Server 를 사용하지 않으므로 공격대상에서 제외되므로 안심해도 된다. 파일 형태로 감염되는 것이 아니라 SQL 서버 에서 사용하는 UDP 1434번 포트를 통하여 네트워크 트래픽을 과다하게 발생시켜 SQL 서버를 다운 시키는 DDOS 공격을 이용하 며, 감염된 서버의 메모리 상에만 존재하게 된다. 서버를 재부팅하면 메모 리에서 사라지지만 패치를 적용하지 않으면 또다시 공격의 대상이 되므로 반드시 아래 치료 방법대로 패치를 해야만 한다. [공격/확산 원리] 영화 백투더퓨쳐에서 보면 과거로 돌아가는 장면이 나오는데, 만약 타임머 신을 타고 돌아간 과거가 지옥이라면 과연 어땠을까? Worm/SQL_Slammer 는 바로 이러한 원리를 이용한 웜이며, 웜은 정상적인 실행 코드가 있는 기억 장소를 지옥과 같은 코드(웜코드)로 겹쳐 써놓아 정상적인 코드가 아닌 웜 코드가 실행되도록 한 것이다. 이렇게 실행된 웜코드는 취약점을 가지고 있 는 다른 서버들을 공격하여 순식간에 전세계적으로 확산이 되게 된 것이 다. 그렇다면 우리는 어떻게 대처해야 할까? 고장난 타임머신을 고치면 되 듯이, MS-SQL Server 서비스팩을 이용하여 패치를 하면 되는 것이다.

※ 예방 및 수동 조치 방법

• 본 컨텐츠에 대한 저작권은 '에브리존'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
• 본 컨텐츠에 대한 이용 문의는 '에브리존'으로 문의하여 주십시요