SQL_Overflow 웜이 2003년 1월 25일 오후 2시 30분경(한국시각)에 발견되었다. 이 정보를 작성하고 있는 현재 한국 뿐 아니라 미국, 영국, 호주 등 세계적으로 확산되고 있다.

이 웜은 1434 UDP 포트를 이용하여 SQL 서버가 설치된 서버를 대상으로 공격되고 있으며, 2002년 7월 24일 발견된 "Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution 취약점"을 이용하여 확산된다.

SQL_Overflow 는 기존의 CodeRed 와 비슷하게 메모리에만 상주하는 악성 코드이다. 작동하게 되면 ws2_32.dll 의 sendto 함수를 이용해서 랜덤한 IP 로 패킷을 보내게 된다. 보내지는 패킷의 크기는 376 바이트 이며, 포트 1434 ( Microsoft SQL-Monitor 포트 ) 를 사용한다. 패킷이 한번 보내지면 무한루프를 돌아 서버가 종료될 때까지 패킷을 보내게 되어 실제적으로 DDoS 공격을 하게 된다.

또한 이 웜은 일반적인 웜과 같이 파일형태로 저장되어 감염되는 것이 아니라 2001년 7월에 발견되었던 코드레드와 같이 메모리상에 상주하는 형식으로 전파되므로, 일반 백신 프로그램으로는 치료할 수 없다.

* 이 정보는 2003년 1월 25일 21시 30분에 최초 작성되었으며, 2003년 1월 25일 23시 25분에 최종 수정 되었다.

치료방법 - 안철수연구소에서는 이 웜을 모니터링할 수 있는 전용솔루션을 현재 개발중이며, 개발이 완료되는 대로 홈페이지를 통해 무료 배포할 예정입니다.

- 이 웜이 이용하는 취약점에 대한 자세한 한글정보는 안철수연구소에서 작성한 ASEC Advisory SA-2002-072를 참고하기 바랍니다.

- SQL_Overflow 웜 예방법 -

MS가 제공하는 서비스 팩2 가 설치된 사용자는 Buffer Overruns 패치만 받아 설치하면 된다. 그러나 서비스 팩2 가 설치되지 않은 사용자는 서비스 팩2와 패치파일도 함께 설치하도록 한다. 또한 지금까지 서비스팩 내용이 누적된 서비스 팩3 에서도 이 취약점에 대한 예방이 가능하다.

의견감추기 리스트보기 펼쳐보이기

1. 1. 이용준 '03.1.28 7:52 PM 신고
   이런게 발겨지느 것보다는 대비가 더 중요하지 않을까요 ↓댓글에댓글
2. 2. 이경일 '03.3.9 8:17 PM 신고
   :-D*밝혀져야 다음 대비가 가능하겠지요? ↓댓글에댓글
3. 3. 룰루랄라 '03.3.18 11:40 PM 신고
   :-D*그렇죠..모를때는 어쩔수 없이 당해도..한번 당하면 다시는 똑같이 안당한다는 자세가 더 중요하지 않을지..:) ↓댓글에댓글
4. 4. 룰루랄라 '03.3.18 11:41 PM 신고
   :-D*예방도 중요하지만..모르는 적을 예상해서 준비한다는건..;; 물론..이번 사건은 예방할 수도 있는 것이였지만, 일반적으로 말이죠..^^* ↓댓글에댓글

1. 1. 이런게 발겨지느 것보다는 대비가 더 중요하지 않을까요 이용준 '03.1.28 7:52 PM
2. 2. :-D*밝혀져야 다음 대비가 가능하겠지요? 이경일 '03.3.9 8:17 PM
3. 3. :-D*그렇죠..모를때는 어쩔수 없이 당해도..한번 당하면 다시는 똑같이 안.. 룰루랄라 '03.3.18 11:40 PM
4. 4. :-D*예방도 중요하지만..모르는 적을 예상해서 준비한다는건..;; 물론..이.. 룰루랄라 '03.3.18 11:41 PM