<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">
<META NAME="Generator" CONTENT="MS Exchange Server version 6.0.5770.91">
<TITLE>MS-SQL Slammer Signature</TITLE>
</HEAD>
<BODY>
<!-- Converted from text/rtf format -->

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Rule:</FONT></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">alert UDP any any -> any 1434 (msg:"SQL Slammer Worm"; rev:1; content:"|726e51686f756e746869636b43684765|";)</FONT></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Summary:</FONT></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">The recent network traffic targeting UDP port 1434 has been recently identified as the Microsoft SQL Slammer worm.  It propagates over UDP port 1434, the Microsoft SQL Monitoring port.  Using crafted packets, the worm exploits a buffer overflow in the monitoring service implementation to infect the host.  Currently, this worm is extremely wide-spread.</FONT></SPAN></P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Impact:</FONT></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Once infected, the host will simply continue propagation of the worm.  No distributed denial of service, backdoor, or destructive functionality exists with this worm, but the amount of traffic it can generate is capable of causing network outages.</FONT></SPAN></P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">False Positives:  Unknown</FONT></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">False Negatives:  Unknown</FONT></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Corrective Action:</FONT></SPAN>

<BR><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Firewall UDP port 1434 and disable the service if not in use.  Be certain that your SQL servers are fully patched.  A reboot of an infected SQL server will remove the worm, but if the server is still vulnerable after the reboot and the proper firewall configurations have not been made, it will most likely be infected again.   </FONT></SPAN></P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Microsoft has a patch for vulnerable SQL Servers at:</FONT></SPAN>

<BR><SPAN LANG="en-us"><U><FONT COLOR="#0000FF" SIZE=2 FACE="Courier New"><A HREF="http://www.microsoft.com/technet/security/bulletin/MS02-039.asp">http://www.microsoft.com/technet/security/bulletin/MS02-039.asp</A></FONT></U></SPAN>
</P>

<P><SPAN LANG="en-us"><FONT SIZE=2 FACE="Courier New">Contributors:  VigilantMinds <A HREF="http://www.vigilantminds.com">http://www.vigilantminds.com</A> 412-661-5700</FONT></SPAN>
</P>
<BR>

</BODY>
</HTML>