Robak paraliżuje Internet

W sobotę w Sieci pojawił się nowy, niezwykle groźny robak internetowy - Slammer. "Insekt" spowodował poważne utrudnienia w przesyłaniu danych, czasowo paraliżując nawet część Internetu. Robak rozprzestrzenia się, wykorzystując kilka znanych już od pewnego czasu błędów w zabezpieczeniach Microsoft SQL Server 2000.

Wydarzenia
30-31 marca 2017 r.

Już po raz dziesiąty stowarzyszenia ISSA Polska, ISACA Warsaw Chapter oraz magazyn Computerworld zapraszają na konferencję SEMAFOR - Forum...

Zarejestruj się
Po zainfekowaniu serwera (robak powoduje w tym celu błąd przepełnienia bufora), Slammer zaczyna wysyłać ogromne ilości pakietów - co powoduje efekt podobny do ataku DoS (Denial of Service). Z pierwszych raportów, publikowanych przez producentów oprogramowania antywirusowego, wynika, że Slammer zdołał już zarazić ok. 200 tys. serwerów na całym świecie.

Największe szkody robak spowodował m.in. w Południowej Korei – w sobotę przez kilka godzin nie można tam było korzystać z Internetu. Działanie robaka bardzo boleśnie odczuli także klienci Bank of America - ponad 13 000 bankomatów tego banku odmówiło posłuszeństwa. Przez pewien czas nie działało także 5 z 13 kluczowych dla całego Internetu serwerów DNS. W krytycznym momencie działania robaka odsetek "gubionych" podczas transmisji pakietów danych sięgał 20%. Normalnie odsetek ten nie przekracza 1%.

Zdaniem ekspertów, usunięcie zagrożenia jest stosunkowo proste - wystarczy zainstalować udostępniony niedawno przez Microsoft SQL Server 2000 Service Pack 3. Microsoft opracował także i udostępnił dzisiaj rano specjalnego patcha, usuwającego tę lukę w zabezpieczeniach. Nie ma na razie zgody, co do tego, czy Slammer potrafi kasować pliki - firma Trend Micro określa go jako "destrukcyjnego", podczas gdy Symantec (firma nazywa "insekta" W32.SQLExp.Worm) uważa, iż robak nie potrafi kasować danych, zaś jego działanie sprowadza się do rozpowszechniania się i "zalewania" serwerów internetowych danymi.

Oświadczenie w sprawie robaka wydał już polski oddział Microsoftu. Przedstawiciele firmy poinformowali, że robak "atakuje niezabezpieczone uprzednio odpowiednią poprawką aplikacje Microsoft SQL Server 2000 oraz Microsoft SQL Desktop Engine 2000 (MSDE 2000). Microsoft cały czas pracuje nad zapewnieniem bezpieczeństwa i ochrony klientom, których systemy zostały zainfekowane. Problem nie dotyczy typowych domowych użytkowników komputerów." Firma dodaje także, iż "nic nie wskazuje na to, że wirus niszczy dane przechowywane w zainfekowanych systemach".

Microsoft zaleca użytkownikom narażonych programów zainstalowanie najnowszych poprawek, zgodnie z instrukcją zamieszoną w publikacji TechNet http://www.microsoft.com/technet/security/bulletin/MS02-061.asp oraz "rozpoczęcie przygotowania do wdrożenia uaktualnienia Microsoft SQL Server 2000 SP3." Administratorzy nie mogący z jakichś powodów zainstalować zalecanych poprawek powinni zablokować cały pochodzący z nieznanych źródeł ruch na porcie UDP 1434.

Informacje na temat Slammera można uzyskać w Centrum Obsługi Klienta Microsoft (tel. 0 801 308 801 i 0 22 431 19 99, czynnym w dni robocze w godz. 9:00 – 17:00) oraz w Internecie:

http://www.microsoft.com/security
http://support.microsoft.com
http://www.msinfo.pl
http://www.cert.org/advisories/CA-2003-04.html
Narzędzie, umożliwiające łatwe usunięcie "insekta" z zainfekowanego systemu przygotował Symantec. Więcej informacji oraz plik do pobrania znaleźć można tutaj:

http://securityresponse.symantec.com

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.