vomit
2003. január 27., hétfő 11:57

Az Internet Security Systems (ISS) szombaton AlertCon 4 fokozatú (katasztrofális fenyegetés) riasztást adott ki, vagyis magasabbat, mint annak idején a Code Red és a Nimda féregvírusok megjelenésekor. Az SQLSlammer mindössze 376 bájt, de a megfertőzött szervereket elérhetetlenné teszi, mivel a teljes kimenő sávszélességet elfoglalja. Az FBI arról számolt be, hogy európai idő szerint szombat reggel fél hét és délután négy között volt a legsúlyosabb a helyzet.

Az ISS szerint az SQLSlammer már az első éjjel 160 ezer számítógépet megfertőzött. Más becslések szombatra negyedmillió gép kiesését látták valószínűnek. Annyi biztos, hogy a féregvírus rendkívüli sebességgel terjedt, mivel a Nimdához és a Code Redhez képest igen kicsi. Memóriába töltve 250 bájtot nyom, a hálózaton pedig összesen 376 byte, vagyis egy UDP adatcsomagban elfér.

A féregvírus mindenekelőtt a csendes-óceáni térségben és Észak-Amerikában pusztított. Bankjegykiadó automatáktól kezdve légitársaságok rendszeréig számítógépek ezrei bénultak le, már amennyiben a Microsoft SQL Server 2000 vagy a Microsoft Desktop Engine (MSDE) 2000 gyári változatban fut rajtuk.

Ezek az adatbáziskezelő rendszerek pillanatok alatt az SQLSlammer áldozatává válhatnak, ha nincs kijavítva rajtuk egy régebb óta ismert biztonsági rés. Még a Microsoft néhány saját szervere is áldozatul esett a támadásnak, és egy időre lehetetlenné vált a kritikus hibát lezáró javító alkalmazás letöltése.

Teljes erővel szaporodik

Az SQLSlammer úgy fertőz, hogy egy különlegesen preparált UDP csomagot küld egy adott IP számon álló gép 1434-es portjára. Ez a hibajavítás nélküli Microsoft SQL szervereken tártúlcsorduláshoz, és azonnali fertőzéshez vezet. A Microsoft SQL Server 2000 ezen hibájára 2002. július 24. óta létezik javítás, de a jelek szerint sok szerverre még nem telepítették.

Miután a féregvírus átvette az irányítást a szerver felett, végtelen ciklusban nekilát véletlenszerűen kiválasztott IP számokra szétszórni magát. A virtuális kórokozó eközben csak a memóriában létezik, vagyis a merevlemezre nem menti el magát. Mivel a számítógépek teljes sávszélességét leköti a terjedéshez, a hatalmas adattömeg komolyan akadályozza a normális internetes forgalmat.

Elméletileg ilyen jogosultság birtokában nagy károkat lehetne okozni a fertőzött rendszerekben, például további támadások érdekében hátsó bejáratokat telepítve. Az ilyen megoldásokról azonban tudatosan lemondtak az SQLSlammer ismeretlen szerzői.

Ehelyett az apró vírus minden erejét a továbbterjedésre fordítja, a teljes kimenő sávszélességet lefoglalva. Az érintett rendszerek ezért válnak egy csapásra elérhetetlenné. Az FBI arról számolt be, hogy európai idő szerint szombat reggel fél hét és délután négy között volt a legsúlyosabb a helyzet.

Koreától Ausztriáig pusztít

A szélessávú hozzáférések számában élen járó Dél-Koreát súlyosan érintette a támadás, a rendszergazdák a hétvégét a hálózatok foltozásával töltötték. Attól lehet tartani, hogy a hét első munkanapján újabb fertőzési hullám indulhat, ahogy a vállalati számítógépek munkába állnak, írta a BBC.

Ausztriában mindenekelőtt a szélessávú kábeles hozzáféréssel rendelkező magánfelhasználók félprofesszionális rendszereit érte el a fertőzés, jelentette az osztrák Ikarus Software. A cég szakértői szerint a hivatásos rendszergazdák inkább naprakészek a javításokkal, és sokat számít a jól beállított tűzfal, amely nem engedi egy portra tolulni a teljes sávszélességet.

A Network Associates szakértője, Toralv Dirro szerint az interneten valaha felbukkant legveszélyesebb féregvírusok egyikéről van szó. Amerikai idő szerint péntek este óta világszerte komoly zavarok jelentkeztek, több Voice-over-IP (internetes telefon) szolgáltatás leállt a megugrott forgalom következtében.

Javítások

A gyors elterjedés miatt még nem tudták meghatározni, honnan indult ki a fertőzés. A Network Associates mindenesetre elkészítette a vírust leszedő alkalmazást, amely maradéktalanul eltávolítja az SQLSlammert a memóriából, de az újrafertőzésnek nem veszi elejét.

Ezen kívül javasolják a Microsoft SQL-Server 2000 és a Microsoft Desktop Engine 2000 felhasználóinak, hogy sürgősen ellenőrizzék, telepítve van-e a gépükön a Microsoft fent említett javítása."