|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.SQLSlammer.A
W32/SQLSlammer.A (alias W32.SQLExp.Worm, Sapphire)
Der am Samstag den 25. Jänner 2003 entdeckte SQLSlammer Wurm konnte in Rekordzeit Zehntausende von Servern auf der ganzen Welt erfolgreich infizieren. Zu spüren war dies für User überall dadurch, das Seiten langsam oder gar nicht abgerufen werden konnten oder manche Server schlicht und einfach gar nicht erreichbar waren. Am schlimmsten Betroffen war der gesamte Pazifische Raum einschließlich Süd Korea wo die meisten lokalen InternetServices über Stunden nicht erreichbar waren. Auch in Japan und Indien mussten diese Effekte, hervorgerufen durch das Virus, registriert werden.
Erstaunlich ist, dass der Slammer-Wurm das gleiche Angriffs-Verhalten wie schon der vor 2 Jahren aktive CodeRed Wurm aufweißt und dabei eine Sicherheitslücke ausnützt, die mittlerweile schon seit Juli 2002 bekannt ist.
Diese Sicherheitslücke nutzt das Virus dafür um sich mit einer sogenannten „Buffer-overflow“ Attacke im Speicher des betroffenen Servers zu initialisieren und von dort nach anderen „ungepachten“ Servern im Netz zu suchen
Der Slammer Wurm befällt NUR
Microsoft SQL Server 2000
Microsoft Desktop Engine (MSDE) 2000
auf denen KEIN aktueller Patch installiert wurde. Alle Systeme auf denen der Patch
http://www.microsoft.com/technet/security/bulletin/MS02-039asp
von Microsoft installiert wurde sind überhaupt nicht betroffen.
Das Virus bedroht somit AUSSCHLIESSLICH SQL-Server und keine anderen PCs.
Der Wurm selbst infiziert ausschließlich die o.g. Server und gelangt NICHT wie andere Viren via eMail auf Client (PC) Systeme. Das Virus bleibt dabei AUSSCHLIESSLICH im Speicher der infizierten Server und schreibt sich NICHT auf die Festplatte der betroffenen Systeme. Dadurch wird es von vielen Virenschutzprogrammen NICHT erkannt. Ein einfacher Reboot (Neustart) jedoch löscht das Virus zuverlässig aus dem Speicher und ein Einspielen Patches verhindert eine Neuinfektion.
Es ist daher sehr wahrscheinlich, dass das schnell aufflackernde Strohfeuer „SQL-Slammer“ auch sehr schnell wieder „gelöscht“ ist und das Virus keine nennenswerte Bedrohung mehr darstellt. Die Botschaft des/der Virenautor(en) liegt klar auf der Hand:
„Haltet Eure Systeme sauber und euch wird nichts passieren“
Der Slammer-Wurm ist deshalb so erfolgreich in seiner Verbreitung, weil er wesentlich kleiner (376 Byte) als andere Viren ist und er sich somit innerhalb eines einzigen UDP-Pakets verschicken kann. Dies tut das Virus auch indem es sich über ein eigenes UDP-Paket auf Port 1434 verschickt.
Auf ungepachten Microsoft SQL Server verursacht dies eine sogenannte Buffer-Overflow Attacke die dazu führt das sich das Virus in den Speicher der betroffenen Server schreiben kann. Nachdem das Virus einen eigenen Prozess (WS2_32.DLL) auf dem infizierten Server gestartet hat versucht es über diesen zufällig ausgewählte IP Adressen über den gleichen UDP-Port (1434) zu infizieren. Dieser Prozess läuft in einer endlosen Schleife und nimmt die dazu gesamte Bandbreite der infizierten Server in Beschlag. Daraus resultiert in Summe auch das massive Aufkommen von Traffic das durch den Wurm verursacht wird.
Detaillierte Informationen dazu finden sich auf:
http://www.nextgenss.com/advisories/mssql-udp.txt
Tipp vom Virendoktor
Für einen Blick in die Mailinglisten oder auf die Homepage der verschiedenen Produkt -Anbieter sowie regelmäßige Updates von Programmen sollte immer Zeit sein. Wird eine Sicherheitslücke gemeldet sei es unter Microsoft oder Linux/Unix so sollte diese so schnell wie möglich gestopft werden.
Microsoft hat bereits einen Patch gegen diesen Wurm zur Verfügung gestellt dieser liegt unter:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
WICHTIG: Bitte beachten Sie, dass das Einspielen eines Patches auf einen vom SQL-Slammer infizierten Server nur dann sinnvoll ist, wenn Sie das Virus zuerst aus dem Speicher des Servers entfernt haben. Dafür reicht ein einfacher Reboot des Infizierten Servers.
Auch das blockieren des Traffics über den UDP Port´s 1434 verhindert eine neuerliche Infektion des Wurms.
|
|
Linktipps: Schuhe
|
|
|
|
