Win32.SQL.Slammer.376, или второе пришествие CodeRеd

25 января 2003
[25.01.2003]

Приблизительно в 8 часов утра по московскому времени 25 января Служба мониторинга вирусной активности ЗАО "ДиалогНаука" получила информацию о серьезных проблемах на ряде крупных серверов в Республике Корея. Многие из них просто перестали реагировать на запросы. Затем аналогичные сигналы стали поступать со всего мира. В считанные часы серверный мир был поставлен на колени 376 байтами вирусного кода. Под угрозой оказались самые разнообразные интернет-транзакции, особенно пострадала интернет-коммерция.

Win32.SQL.Slammer.376 - интернет-червь (по классификации других антивирусных вендоров WORM_SQLP1434.A, SQLP1434.A, W32/SQLSlammer, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A, SQL Slammer Worm, DDOS.SQLP1434.A, W32/SQLSlammer) является вторым "бестелесным вирусом" после печально прославившегося Win32.CodeRed.3569. Он не существует в виде файла на зараженном компьютере, не распространяется в виде файла по сети. На пораженном компьютере червь проникает в контекст процесса Microsoft SQL Server и запускает в нем свой код - бесконечный цикл, генерирующий с высокой скоростью большой сетевой трафик в силу того, что червь пытается атаковать случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со своим телом. Из-за специфических особенностей червя, обнаружение и лечение вируса обычными методами невозможно. Антивирусные программы, проверяющие на наличие вирусов только файлы и операции с файлами, не способны его обнаружить, поскольку этот червь существует только в виде сетевых пакетов и программного кода в памяти компьютера.

Объектом нападения червя являются сервера Microsoft SQL Server 2000. Для попадания в систему червь использует уязвимость в системе безопасности этих серверов (подробнее…), а именно переполнение буфера, воспользовавшись которым нападающая сторона может получить контроль над пораженной системой в контексте прав, с которыми запущен Microsoft SQL Server.

Червь отсылает 376 байт своего кода в виде пакетов длиной 384 байта на порт 1434/udp, что приводит к существенному замедлению в его работе, а затем и к полному отказу.

Во избежание заражения данным вирусом ЗАО "ДиалогНаука" настоятельно рекомендует блокировать порт UDP/1434 для доступа извне и установить на сервер Microsoft SQL 2000 service pack 3, последний патч к которому был выпущен компанией 17 января 2003 года.

В силу наличия уникальной технологии полного сканирования памяти виртуальных машин под Windows NT/2000/XP, в настоящее время сканер Dr.Web® - единственный антивирус, способный стандартными средствами обнаружить данный вирус в памяти компьютера. Если сканер настроен на автоматическую проверку памяти при своем старте (а именно таковы настройки "по умолчанию"), то он обнаружит и обезвредит Win32.SQL.Slammer.376, остановив зараженный процесс Microsoft SQL Server.

Подробное описание вируса читайте на нашем сайте.

7
;