[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
heise online: SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic
SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic
Ein neuer Wurm namens SQLSlammer[1] sorgt seit vergangener Nacht weltweit
für massives Traffic-Aufkommen[2].
Internet Security Systems[3] hat AlertCon 4 ("Katastrophale Bedrohung")
ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits
in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner
infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu
Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines
einzigen UDP-Pakets verschicken kann.
SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket
auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft
SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des
Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit
dem 24. Juli vergangenen Jahres einen Patch[4], der aber offensichtlich auf
vielen Rechnern noch nicht eingespielt wurde.
Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er
einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte
IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu
infizieren. Der Schädling residiert dabei nur im Arbeitsspeicher, legt also
keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der
Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives
Aufkommen an Traffic.
Toralv Dirro vom Antiviren-Unternehmen Network Associates[5] sieht den
Schädling als einen der gefährlichsten Würmer an, der sich je im Internet
verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm
verbreitet. Wir beobachten seit gestern weltweit massive Beeinträchtigungen
im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhöhten
Traffic ausgefallen." Wegen der schnellen Verbreitung können AV-Unternehmen
momentan auch immer noch nicht sagen, von wo der Schädling sich
ursprünglich ausbreitete.
Network Associates will in Kürze ein Stand-Alone-Tool zur Verfügung
stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und
Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop
Engine 2000 installiert haben, sollten dringend überprüfen, ob der oben
erwähnte Patch aus dem Microsoft Security Bulletin MS02-39[6] eingespielt
ist. (pab[7]/c't)
URL dieses Artikels:
http://www.heise.de/newsticker/data/pab-25.01.03-000/
Links in diesem Artikel:
[1] http://vil.nai.com/vil/content/v_99992.htm
[2] http://www.heise.de/newsticker/data/wst-25.01.03-001/
[3] http://www.iss.net/security_center/
[4]
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
[5] http://www.nai.com
[6]
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
[7] mailto:pab@ct.heise.de
--
To unsubscribe, e-mail: debate-unsubscribe@lists.fitug.de
For additional commands, e-mail: debate-help@lists.fitug.de