Slammer

Nazwa: W32.Slammer, SQLSlammer, Sapphire, W32.SQLExp.Worm, DDOS_SQLP1434.A

Nazwa: W32.Slammer, SQLSlammer, Sapphire, W32.SQLExp.Worm, DDOS_SQLP1434.A

Dotyczy systemów: Microsoft Server 2000, Microsoft Desktop Engine (MSDE) 2000

Opis działania: Jedyną funkcją obecnej wersji Slammera jest wysyłanie własnych kopii do dużej liczby losowo wybranych adresów IP w poszukiwaniu nowej ofiary. Robak nie niszczy plików. Slammer wysyła pakiety (pojedynczy pakiet o rozmiarze 376 bajtów zawiera cały jego kod) na port UDP 1434, który jest wykorzystywany przez usługę SQL Server Service.

SQL Server 2000 pozwala na uruchomienie na jednym komputerze wielu kopii systemu, postrzeganych jako odrębne bazy danych. Pierwsza instancja SQL Server komunikuje się za pomocą portu 1433. Kolejne kopie korzystają z dynamicznie przyznawanych portów.

Resolution Service informuje oprogramowanie klienckie, na jakich portach działają poszczególne instancje.

W większości przypadków port 1434 powinien pozostawać zamknięty. Jednak trafiając na nie zabezpieczoną maszynę, robak wykorzystuje mechanizm przepełnienia bufora i instaluje się w pamięci komputera, poszukując kolejnych ofiar. Dzieje się tak do czasu zastosowania poprawek.


TOP 200