Червь SQL Slammer атакует серверы по всему миру

Червь использует баги в MSSQL Server и MSDE.

Топ-1 из списка наиболее используемых вирусов под названием SQL Slammer нападал на компьютеры пятнадцать лет назад, и вновь он в строю. В былые времена червяк был лидером по быстроте заражения — примерно за десяток минут он успевал поразить семьдесят пять тысяч ботов.

Данный вирус проникает в систему через известную брешь в безопасности в базах данных MSSQL и Desktop Engine, которая дает ему возможность через инъекцию вида buffer overflow спровоцировать DoS. Вирус использует багу благодаря огромному количеству UDP запросов на порт 1434. После того, как компьютер был заражен, вирус все быстрее и быстрее пытается внедрить инфицирующий код и использует машину для отправки подобной UDP нагрузки на различные рандомные IP, полностью загружая систему.

Баг был найден хакером Дэвидом Литчфилдом за некоторое время до того, как был обнаружен SQL Slammer. На тот момент Майкрософт сделали апдейт, но данный фикс был инсталлирован лишь на малой части уязвимых компьютеров.

Как сообщают эксперты из Чек Поинт, прошлогодней осенью вирус снова был замечен. Анализаторы обнаружили огромный трафик генерируемый вирусом. Нападения были зафиксированы на ста семидесяти двух компьютерах по всему земному шару, подразумевая скорее большое количество атак, нежели одну но большую. Самое большое количество зараженных IP было зафиксировано в Китайской Народой Респблике, Мексике и Украине. Пока что ученым из Чек Поинт не удалось узнать причины новейшей активности червя.