Slammer

Nazwa: W32.Slammer, SQLSlammer, Sapphire, W32.SQLExp.Worm, DDOS_SQLP1434.A

Nazwa: W32.Slammer, SQLSlammer, Sapphire, W32.SQLExp.Worm, DDOS_SQLP1434.A

Dotyczy systemów: Microsoft SQL Server 2000, Microsoft Desktop Engine (MSDE) 2000

Opis działania: Jedyną funkcją obecnej wersji Slammera jest wysyłanie własnych kopii do dużej liczby losowo wybranych adresów IP w poszukiwaniu nowej ofiary. Robak nie niszczy plików. Slammer wysyła pakiety (pojedynczy pakiet o rozmiarze 376 bajtów zawiera cały jego kod) na port UDP 1434, który jest wykorzystywany przez usługę SQL Server Resolution Service.

SQL Server 2000 pozwala na uruchomienie na jednym komputerze wielu kopii systemu, postrzeganych jako odrębne bazy danych. Pierwsza instancja SQL Server komunikuje się za pomocą portu 1433. Kolejne kopie korzystają z dynamicznie przyznawanych portów.

Resolution Service informuje oprogramowanie klienckie, na jakich portach działają poszczególne instancje.

W większości przypadków port 1434 powinien pozostawać zamknięty. Jednak trafiając na nie zabezpieczoną maszynę, robak wykorzystuje mechanizm przepełnienia bufora i instaluje się w pamięci komputera, poszukując kolejnych ofiar. Dzieje się tak do czasu zastosowania poprawek.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200