L' information du contact tierce-partie inclus dans cet article est destiné à vous aider à trouver le support technique nécessaire. Cette information est susceptible d'être modifiée. En aucun cas, Microsoft ne garantit l'exactitude de cette information contact tierce-partie.
IMPORTANT : Il n'y a pas de bug dans SQL Server permettant
cette intrusion. Cette vulnérabilité provient d’un système non sécurisé. Les fichiers suivants indiquent la présence du worm :
– rpcloc32.exe (md5 = 43d29ba076b4fd7952c936dc1737fcb4 )
– dnsservice.exe (md5 = 79386a78a03a1665803d8a65c04c8791 )
– win32mon.exe (md5 = 4cd44f24bd3d6305df73d8aa16d4caa0 )
En outre, l’apparition de la clé du registre suivante signale la présence du worm :
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TaskReg
Les clés du registre suivantes sont des clés existantes sur SQL Server et sont utilisées par le worm pour contrôler l’accès à l’ordinateur en utilisant la bibliothèque réseau TCP/IP :
SOFTWARE\Microsoft\MSSQLServer\Client\SuperSocketNetLib\ProtocolOrder
SOFTWARE\Microsoft\MSSQLServer\Client\ConnectTo\DSQUERY
Le worm utilise la procédure cataloguée étendue xp_cmdshell, laquelle permet au worm d’exécuter n’importe quelle commande sur l’operating system, commande que le compte associé au service SQL Server a la permission d’exécuter.
Les sites suivants fournissent des informations relatives à la manière de sécuriser votre serveur SQL Server :
http://www.microsoft.com/sql/techinfo/administration/2000/security.asp
http://www.microsoft.com/sql/evaluation/features/security.asp
Mots-clés supplémentaires : virus anti-virus scanner logon login
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
