kammy 曰く、 "ふと自宅のルータのアクセスログを見ていたら14:30位からUDPポート1434番(Microsoft SQL Monitor)に大量のアクセスが発生しているのを見つけました。気のせいかネットも重く感じます(17:30現在)。「韓国、ネットが全面まひ」と関係があるのでしょうか?続報を待ちましょう。"
yaizawa 曰く、 "現在MSのSQLをターゲットにしたwormが広まっている模様です。udp/1434を使っている模様なのでルータで落とすのがとりあえずの予防でしょうが、この穴のセキュリティ勧告が出たのが去年の7月だとか。"
起きて(ドイツ時間)、メールチェックをしようと思ったが、学術ネットワークの入口で50%強のパケットロス。タレコミをチェックすると複数の体験談がタレコまれていた。BugtraqやNANOGへの投稿をみると、MS-SQLを狙ったワームが元凶なのはかなり確実と見ていいだろう。帯域限界までとにかくパケットを吐き続けけるみたいで、パケットを落す設定をした結果、回線は空いたがルータが過負荷で不安定になった、というケースが多いらしい。また、未確認ながらランダムに他のポートも狙う様だ。事態の鎮静化と解剖結果が待ち遠しい。
Update: 01/25 13:08 GMT by O:ネットはあいかわらず渋滞状態だが、とりあえず、穴を持っているホストはひととおり感染したみたいだ。同時に問題のワームの解剖と解析が進んでいる。それによると、UDPパケット1個に収まる376バイトのペイロードで感染し、自分をランダムな相手に送りまくる。パケット1個というコンパクトさと感染行動がタイトなループなことにより、帯域を潰せるみたいだ。また、ファイルに感染したり、痕跡は残さないのでリブートすると消えるが、とうぜん上記のセキュリティホールは残ったままなのですぐまた感染してしまう。すぐに亜種が出てくるだろうから、サービスパックやパッチはちゃんと当てましょう。意図的か偶然か、1月24日はこのセキュリティホールの発見からちょうど半年たった日だ。