Universidad Nacional Autónoma de México
Dirección General de Servicios de Cómputo Académico
Año 7 Núm. 74, Publicación Mensual, 27 de Noviembre de 2008

ARTÍCULOS

 

Año 2, Número 16, Febrero de 2003
SQL SLAMMER
un gusano de alta peligrosidad

Mariana Celorio Suárez
macel@servidor.unam.mx

 

A través de una computadora conectada a un megabit por segundo, este gusano puede hacer de sí mismo 300 copias cada segundo y enviarlas al mismo tiempo.

Cerca del 45% de las máquinas infectadas en todo el mundo se loca-lizan en Estados Unidos.

A diferencia de otros virus y gusanos cuyos propósitos malignos son afectar el software con el que trabajan los equipos, así como la
integridad de los archivos, documentos almacenados, correos electrónicos y sitios en Internet, este nuevo gusano, que violentó las redes mundiales el 25 de enero del año en curso, tiene como objetivo principal, paralizar Internet; es decir, saturar las redes mediante repetitivas solicitudes a los servidores e incrementar el tráfico de información con el riesgo de ocasionar una negación del servicio o que éste se vuelva tan lento, que sea totalmente insatisfactorio. Su intención es propagarse a partir de ataques masivos a los servidores de Internet, pero no tiene carga destructiva.

El gusano —también conocido como Sapphire, W32.SQLExp, DDOS.SQLP1434.A, W32/SQLSlammer, W32/SQLSlam-A— infecta
princi-palmente a equipos con Microsoft SQL Server, que es un sistema de administración de bases de datos extensas y complejas
desarrollado por Microsoft, el cual a su vez, actualmente, es uno de los programas o sistemas más utilizados para realizar tareas
relacionadas con registros y bases de datos.

Slammer es aproximadamente 255 veces más rápido que cualquier gusano antecesor, y ha sido el causante del ataque más agresivo y dañino que se ha llevado a cabo en los últimos 18 meses. Cabe mencionar que, en menos de 10 minutos, este gusano infiltrado en las redes mundiales, afectó el funcionamiento del 90% de los servidores vulnerables del mundo.

Su manera de operar

En términos generales, su funcionamiento consiste en abrir un socket Netbios para mandar paquetes de datos: se replica a sí mismo, y genera al azar cientos o miles de direcciones IP para enviar paquetes.

Su característica más importante, que incrementa los niveles de peligrosidad de este gusano, es su capacidad para enviar repetitivamente paquetes de información infectados a diferentes direcciones IP; con el mismo principio del protocolo de comunicación de Internet TCP/IP, el gusano provoca que desde una dirección IP se pregunte, a través de un “ping”, a otra dirección IP, “¿estás ahí?”; al conjuntarse millones de solicitudes repetidas, el gusano provoca tráfico en la red y consumo excesivo de ancho de banda, y, por tanto, la consecuente degradación del servicio.

Cuando el gusano se apodera de la computadora víctima, carga el archivo del sistema WS2_32.DLL para ejecutar las rutinas del envío; después solicita los parámetros como host, puerto y versión del SQL, y recurre a comandos Shell en busca de direcciones de retorno al código del gusano para, por último, ejecutarse en memoria.

¿Cómo localizarlo?

Dentro de un entorno de red, se puede identificar al Slammer mediante paquetes UDP dirigidos de forma aleatoria a través de Internet al puerto 1434/UDP, que es un canal de comunicación donde se realizan las peticiones con el servidor Microsoft SQL Server.
El paquete utilizado para hacer dichas solicitudes de servicio, es decir, el propio gusano, tiene un tamaño de 404 bytes, lo que equivale, en espacio, a un correo electrónico de cinco o seis líneas; y su código puede detectarse a partir de claves como: hws2, Qhsockf, toQhsend, Qh32.dhws2_f, Kernel32.dll, ws2_32.dll, socket, sendto.

Por otra parte, si se utilizan programas antivirus que no llevan a cabo el escaneo en la memoria no podrán detectarlo, debido a que no altera archivos en los discos del sistema.

La vulnerabilidad está relacionada con el servicio SSRS (SQL Server Resolution Service), que permite ejecutar múltiples búsquedas en la misma máquina. Este servicio escucha peticiones al puerto UDP 1434, y devuelve la dirección y el número del puerto del servidor SQL para proporcionar acceso a la base de datos cuando se hace una consulta.

Para contrarrestar el problema o si aún no se presenta, conviene aplicar un parche con las soluciones actualizadas que Microsoft
recomienda como proveedor del SQL, así como especificar un filtrado de entrada y salida de paquetes a través de fireworks o barreras, como medida preventiva, y el uso de programas antivirus.

Las reglas de filtrado de entrada permiten a los administradores manejar el flujo de tráfico que entra a su red para prohibir información
externa dirigida a los servicios no autorizados de la red interna, y así reducir el riesgo de infección e intentos de conexión de intrusos en equipos internos. Las reglas de salida permiten controlar el flujo de tráfico propio que se dirigirá a servidores en Internet.

Retina Sapphire SQL Worm Scanner es una herramienta gratuita para encontrar al gusano en computadoras involucradas; revisa hasta 254 direcciones IP al mismo tiempo. www.eeye.com/html/Research/Tools/RetinaSapphireSQL.exe

Más información

http://www.caida.org/analysis/security/sapphire/
http://www.silicondefense.com/sapphire
http://www.cs.berkeley.edu/~nweaver/sapphire/
http://www.microsoft.com/tehnet/
http://security/bulletin/MS02-034.asp
http://www.microsoft.com/technet/
http://security/bulletin/Ms02-039asp
http://www.microsoft.com/technet/
http://security/virus/alerts/slammer.asp
http://www.unam-cert.unam.mx .

Inicio | Contacto |