W32_sqlexp_worm_propagation

[hawkie]

Gedurende de hele dag krijg ik van mijn norton steeds de melding dat een ip nr 213.100.56.207 probeert vaste voet te krijgen op mijn pc daarmee de worm W32_SQLEXP7WORM_PROPAGATION probeert te installeren.

Ik heb e.e.a. opgezocht op de site van Symantec ( http://securityresponse.symantec.com/avcenter/attack_sigs/sigs/w32_sqlexp_worm_propagation.html )maar kan hier dus echt geen wijs uit. Is er iemand die mij in begrijpelijke taal kan uitleggen wat dit inhoudt?

Een trace van het ip levert dit op:
% This is the RIPE Whois query server #1.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

inetnum: 213.100.0.0 - 213.100.127.255
netname: SE-SWIPNET-000403
descr: SWIPNET/ Tele2
descr: Provider Local Registry
descr: **********************************************
In case of improper use originating from our
network, please mail Tele2 Security at
<abuse@swip.net>
***********************************************
descr: SWIPNET
country: SE
admin-c: SWIP-RIPE
tech-c: SWIP-RIPE
status: ASSIGNED PA
mnt-by: TELE2-REGISTRY
mnt-lower: SWIPNET-LIR-MNT
mnt-routes: AS1257-MNT
changed: per@swip.net 20000404
changed: ip@swip.net 20010829
changed: katri@swip.net 20021010
changed: katri@swip.net 20030813
source: RIPE

route: 213.100.0.0/14
descr: SWIPNET
descr: TELE2 / SWIPNET
origin: AS1257
notify: staff@swip.net
notify: ip@swip.net
mnt-by: AS1257-MNT
changed: per@swip.net 20001115
changed: katri@swip.net 20030409
changed: katri@swip.net 20031219
source: RIPE

role: Swipnet Staff
address: Tele2 AB/Swedish IP Network
DNS/IP Registry
LIR/Local Internet Registry
Borgarfjordsgatan 16
Box 62
S-16494 Kista
SWEDEN
phone: +46 8 5626 40 00
fax-no: +46 8 5626 42 10
e-mail: ip@swip.net
trouble: The database object describes the staff of SWIPNET LIR.
admin-c: KAFO-RIPE
tech-c: KAFO-RIPE
tech-c: AGNE-RIPE
tech-c: LMJ1-RIPE
tech-c: KR455-RIPE
nic-hdl: SWIP-RIPE
mnt-by: SWIPNET-LIR-MNT
notify: ip@swip.net
changed: ip@swip.net 20020321
changed: ip@swip.net 20030210
changed: ip@swip.net 20030311
changed: ip@swip.net 20040713
changed: ip@swip.net 20041105
source: RIPE

 

[BANDIT123]

Removel Tool?
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.worm.removal.tool.html

 

[nteusink]

Het lijkt erop dat de Zweed op dat ip adres besmet is met de SQL Slammer worm. Deze probeert zich te verspreiden naar o.a. jouw systeem.

Er lijkt op dat ip adres inderdaad een database-server te draaien. Jij draait waarschijnlijk geen SQL server dus dan hoef je je geen zorgen te maken over deze worm aanval

Als je wel een SQL server draait heb je het omcircelde icoontje rechtsonder in beeld staan:
http://www.f-secure.com/virus-info/v-pics/sqltray.gif

 

[humpe]

zou dit deze kunnen zijn.

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TROJ_SQLEXEC.A

 

[hawkie]

@ Bandit: ik ben dus niet besmet
@ Humpe: ik weet wel om welke worm het hier gaat

@ Nteusink, bedankt voor je uitleg. Heb inderdaad geen SQL server draaien maar snapte het technische verhaal op Symantec gewoonweg niet.
Heeft het zin om het abuse-adres van Tele2 aan te schrijven denk je?

 

[nteusink]

Een mailtje naar abuse@swip.net kan geen kwaad inderdaad. Dat voorkomt in ieder geval dat deze persoon Slammer verder gaat verspreiden, vooral als je nog steeds aanvallen van hem binnenkrijgt (Mssql draait er in ieder geval nog wel)

 

[hawkie]

De bevestiging van mijn mail die ik zojuist stuurde:

Detta är en bekräftelse på att vi tagit emot
din anmälan och kommer behandla den så fort som
möjligt enligt Tele2s allmänna villkor.

Om du vill återkomma med ditt ärende
eller ha återkoppling rekommenderar vi
att du använder anmälningsformuläret
på http://www.tele2.se/abuse. Du får
då ett ärendenummer som du måste ange
vid uppföljning. Anmälningar utan ärendenummer
kan vi tyvärr inte ge återkoppling på


This is autoresponse is a confirmation that we
have recieved your complaint and will resolve the
issue as soon as possible according to our Acceptable
Use Policy.
If you wish feedback on your complaint we recommed you to
use the form on http://www.tele2.se/abuse as this will give
you a tracking ID that has to be used when contacting us.
It is not possible to get feedback on a complaint without a tracking ID.



--
Med vänliga hälsningar/Regards

Tele2 Customer Security
http://www.tele2.se/abuse
abuse@swip.net

En nou maar hopen dat het werkt.