Červ Win32/SQLSlammer
Ďalšie názvy: W32.SQLExp.Worm, Worm.SQL.Helkern
Technické detaily:
Červ je schopný napadnúť len počítače na ktorých beží Microsoft SQL Server 2000 bez aplikovaného servisného balíka (SP3). Neukladá žiadne dáta na disk, ani nijako nemodifikuje súbory, preto ho je nemožné odhaliť bežným súborovým scannerom.
Systém je napadnutý
pomocou UDP paketu veľkosti 376 bytov prijatému na porte 1434, ktorý je
používaný SQL severom. Tento paket
spôsobí pretečenie buffra (buffer overflow) a umožní spustenie
vykonávateľného kódu červa. Po získaní kontroly červ cyklicky zasiela svoje
telo (376 bytov) na port 1434 počítačov, ktorých IP adresy náhodne generuje.
Tým zabezpečí svoje šírenie a zároveň tým spôsobí mimoriadne výrazné
zvýšenie záťaže čo vedie k faktickému zablokovaniu systému. Okrem tejto
činnosti, červ nemá iné deštruktívne vplyvy.
Popis chyby nájdete
na http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp.
Riešením infekcie je
inštalácia servisného balíka (Service Pack 3) http://www.microsoft.com/sql/downloads/2000/sp3.asp,