Приблизительно в 8 часов утра по московскому времени 25 января Служба мониторинга вирусной активности ЗАО "ДиалогНаука" получила информацию о серьезных проблемах на ряде крупных серверов в Республике Корея. Многие из них просто перестали реагировать на запросы. Затем аналогичные сигналы стали поступать со всего мира. В считанные часы серверный мир был поставлен на колени 376 байтами вирусного кода. Под угрозой оказались самые разнообразные интернет-транзакции, особенно пострадала интернет-торговля.

Win32.SQL.Slammer.376 - интернет-червь (по классификации других антивирусных вендоров WORM_SQLP1434.A, SQLP1434.A, W32/SQLSlammer, W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A, SQL Slammer Worm, DDOS.SQLP1434.A, W32/SQLSlammer) является вторым "бестелесным вирусом" после печально прославившегося Win32.CodeRed.3569. Он не существует в виде файла на зараженном компьютере, не распространяется в виде файла по сети. На пораженном компьютере червь проникает в контекст процесса Microsoft SQL и запускает в нем свой код - бесконечный цикл, генерирующий с высокой скоростью большой сетевой трафик в силу того, что червь пытается атаковать случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со своим телом. Из-за специфических особенностей червя, обнаружение и лечение вируса обычными методами невозможно. Антивирусные программы, проверяющие на наличие вирусов только файлы и операции с файлами, не способны его обнаружить, поскольку этот червь существует только в виде с
етевых пакетов и программного кода в памяти компьютера.

Объектом нападения червя являются сервера Microsoft SQL Server 2000. Для попадания в систему червь использует дыру в системе безопасности этих серверов
(http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp),
а именно переполнение буфера, воспользовавшись которым нападающая сторона может получить контроль над пораженной системой в контексте прав, с которыми запущен Microsoft SQL Server.

Червь отсылает 376 байт своего кода в виде пакетов длиной 384 байта на порт 1434/udp, что приводит к существенному замедлению в его работе, а затем и к полному отказу.

Во избежание заражения данным вирусом ЗАО "ДиалогНаука" настоятельно рекомендует блокировать порт UDP/1434 для доступа извне и установить на сервер Microsoft SQL 2000 service pack 3, последний патч к которому был выпущен компанией 17 января 2003 года.

Антивирусный сканер Dr.Web - единственный российский антивирус, способный обнаружить данный вирус в памяти компьютера. Если сканер настроен на автоматическую проверку памяти при своем старте (настройка "по умолчанию"), то он обнаружит и обезвредит Win32.SQL.Slammer.376, остановив зараженный процесс Microsoft SQL server.

Информационная служба ЗАО "ДиалогHаука"
E-mail: Antivir@DialogNauka.ru
WWW: [www.DialogNauka.ru]
Тел. (095)137-0150, 938-2970

--
With best regards, Roman (ICQ#6937576)

E-mail: roman@pustovalov.ru