SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic
Ein neuer Wurm namens SQLSlammer[1] sorgt seit vergangener Nacht weltweit
f�r massives Traffic-Aufkommen[2].
Internet Security Systems[3] hat AlertCon 4 ("Katastrophale Bedrohung")
ausgerufen -- eine h�here als seinerzeit bei Code Red oder Nimda. Bereits
in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner
infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu
Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines
einzigen UDP-Pakets verschicken kann.
SQLSlammer verbreitet sich, indem er ein speziell pr�pariertes UDP-Paket
auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft
SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des
Rechners. F�r diese Anf�lligkeit des Microsoft SQL Server 2000 gibt es seit
dem 24. Juli vergangenen Jahres einen Patch[4], der aber offensichtlich auf
vielen Rechnern noch nicht eingespielt wurde.
Nachdem der Wurm die Kontrolle �ber den Rechner erlangt hat, startet er
einen Prozess namens WS2_32.DLL und versucht fortan zuf�llig ausgew�hlte
IP-Adressen �ber den UDP-Port 1434 in einer endlosen Schleife zu
infizieren. Der Sch�dling residiert dabei nur im Arbeitsspeicher, legt also
keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der
Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives
Aufkommen an Traffic.
Toralv Dirro vom Antiviren-Unternehmen Network Associates[5] sieht den
Sch�dling als einen der gef�hrlichsten W�rmer an, der sich je im Internet
verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm
verbreitet. Wir beobachten seit gestern weltweit massive Beeintr�chtigungen
im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erh�hten
Traffic ausgefallen." Wegen der schnellen Verbreitung k�nnen AV-Unternehmen
momentan auch immer noch nicht sagen, von wo der Sch�dling sich
urspr�nglich ausbreitete.
Network Associates will in K�rze ein Stand-Alone-Tool zur Verf�gung
stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und
Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop
Engine 2000 installiert haben, sollten dringend �berpr�fen, ob der oben
erw�hnte Patch aus dem Microsoft Security Bulletin MS02-39[6] eingespielt
ist. (pab[7]/c't)
URL dieses Artikels:
http://www.heise.de/newsticker/data/pab-25.01.03-000/
Links in diesem Artikel:
[1] http://vil.nai.com/vil/content/v_99992.htm
[2] http://www.heise.de/newsticker/data/wst-25.01.03-001/
[3] http://www.iss.net/security_center/
[4]
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
[5] http://www.nai.com
[6]
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
[7] mailto:[EMAIL PROTECTED]
