SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic

Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit für massives Traffic-Aufkommen.

In Pocket speichern vorlesen Druckansicht 1527 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Patrick Brauch

Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit für massives Traffic-Aufkommen.

Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.

SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.

Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schädling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic.

Toralv Dirro vom Antiviren-Unternehmen Network Associates sieht den Schädling als einen der gefährlichsten Würmer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeinträchtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhöhten Traffic ausgefallen." Wegen der schnellen Verbreitung können AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schädling sich ursprünglich ausbreitete.

Network Associates stellt ein Stand-Alone-Tool zur Verfügung, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend überprüfen, ob der oben erwähnte Patch aus dem Microsoft Security Bulletin MS02-39 eingespielt ist. (pab)