Червь Slammer: как он устроен и борьба с ним, Hi-Tech

Компьюлента. 27 января 2003 года, 11:13

Как уже сообщала "Компьюлента", 25 января 2002 года интернет был частично парализован из-за нового вируса Slammer (также известного под именем Helkern).

По информации "Лаборатории Касперского", интернет-червь Slammer, заражающий серверы под управлением системы баз данных Microsoft SQL Server 2000, имеет небольшой размер (376 байт) и работает по уникальной технологии, благодаря которой обеспечивается высочайшая скорость его распространения. Он принадлежит к классу так называемых "бестелесных" червей, которые действуют исключительно в оперативной памяти компьютера, что существенно осложняет их обнаружение и нейтрализацию традиционными антивирусными программами-сканерами. Первым представителем этого класса вирусов был червь CodeRed, обнаруженный летом 2001 года и вызвавший сбои в работе интернета, в том числе и в российской его части. Впрочем, даже на пике своей активности, Code Red был куда менее опасен.

Новый червь заражает компьютеры под управлением СУБД Microsoft SQL Server 2000, которая сравнительно часто используется на веб-серверах. Для домашних пользователей, не работающих с SQL Server, червь опасности не представляет. Slammer проникает на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun), для чего на атакуемый компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя.

После заражения сервера Slammer запускает бесконечный цикл распространения (командой "sendto") на случайно выбранные адреса в сети в порт UDP 1434 (при этом используются случайные данные от команды "GetTickCount") и, таким образом, многократно увеличивает сетевой трафик. По утверждению специалистов "Лаборатории Касперского", помимо создания большого объема избыточного сетевого трафика, Helkern не имеет других побочных действий, в том числе, деструктивных.

Чтобы избавиться от Slammer, нужно перезагрузить заражённый компьютер. Так как червь находится только в памяти компьютера, после перезагрузки он исчезнет. Однако если патч не установлен, вероятность повторного заражения сохраняется.

Уязвимость, которой пользуется Slammer для проникновения на серверы под управлением SQL Server 2000, была обнаружена и официально признана компанией Microsoft еще 24 июля 2002 года. Тогда же на официальном сайте Microsoft был выложен патч, устраняющий эту уязвимость. Кроме того, если это возможно, следует также заблокировать входящий траффик 1434 UDP порта (SQL Server Resolution Service Port). Это можно сделать с помощью файрволла или маршрутизатора.

Описание вируса на сайте "Лаборатории Касперского"
Рекомендации по борьбе с вирусом на сайте Panda Software
CERT Advisory CA-2003-04 MS-SQL Server Worm (на английском языке)
Заявление Microsoft по поводу вируса (на английском языке)
Описание вируса на сайте Symantec (на английском языке)
Microsoft Security Bulletin MS02-039: Buffer Overruns in SQL Server 2000 Resolution Service Could Enable Code Execution
Патч, позволяющий устранить ошибку в MS SQL Server


News Central Home \| News Central Resources \| Portal News Resources \| Help \| Login



	© 2025 RussianAMERICA Holding All Rights Reserved • Contact