Сбои в работе систем электронной почты, блокировка сети и замедление соединений с Internet – лишь некоторые из…

…последствий деятельности SQLSlammer. Екатеринбург, 27.01.2003 – Новый червь SQLSlammer, впервые обнаруженный в прошедшую субботу, использует брешь в системе защиты SQL Servers для рассылки команд отказа в обслуживании запросов (Denial of Service) на серверы корпоративных сетей.

Этот червь способен к еще более быстрому распространению после того, как сегодня, в начале недели, компании приступили к своей обычной работе.

SQLSlammer, используя слабое место в системе SQL Server, ищет в сети другие серверы SQL с той же брешью и устанавливает себя на них. Таким образом, действия, выполняемые данным червем, могут привести к различным последствиям: сбой в системе электронной почты, замедление связи с сетью Internet, блокировка локальной сети и др.

Луис Корронс (Luis Corrons), глава Вирусной лаборатории Panda Software, объясняет: “Мы настоятельно рекомендуем проявлять бдительность для предотвращения возможных атак, так как они могут вызвать серьезные проблемы в системе сетевых коммуникаций. Первым делом необходимо знать, как данный червь распространяется и действует. Кроме того, сетевые администраторы должны понимать механизм его работы для предотвращения массового заражения. На первый взгляд наиболее подверженными атаке являются корпоративные серверы, но, поскольку домашние пользователи могут устанавливать SQL Server 2000 Desktop Engine в Windows 98, Millenium, NT и 2000 Professional, и он довольно часто используется домашними пользователями и разработчиками ПО, то их компьютеры также могут быть подвержены атаке SQLSlammer ”.

В случае ухудшения ситуации червь может затруднить деятельность корпораций и привести к значительным экономическим потерям, как это было в случае с Red Code. Два года назад в течение девяти часов Red Code поразил 250000 серверов в сети Internet.

У этих червей схожие характеристики. Оба они, например, появились в Азии, оба находятся в памяти компьютера и рассылают команды отказа в обслуживании запросов (Denial of Service). Также стоит отметить, что ни один из них невозможно распознать с помощью обычных антивирусных продуктов. Лучшим решением в данной ситуации будет установка модуля обновления MS от 24 июля 2002.

Видимый признак SQLSlammer – это увеличение трафика 1434 UDP порта (SQL Server Resolution Service Port), а также снижение производительности или даже блокировка зараженного сервера. Даже если вы не обнаружили видимых признаков червя, Panda Software рекомендует выполнить следующее для того, чтобы быть уверенными в том, что червь не попал в вашу сеть:

1.Проверьте, установлен ли у вас модуль обновления, доступный по адресу: http://www.microsoft.com/technet/treeview/default.asp?url=/techn- et/security/bulletin/MS02-039.asp Если нет, то загрузите его и у- становите. 2.Заблокируйте водящий трафик 1434 UDP порта (SQL Server Resolution Service Port). Это можно сделать с помощью межсетевого экрана, маршрутизатора и т.д – в зависимости от конфигурации сети. 3.Переключите SQL Server в «ручной» режим и перезагрузите компьютер. При этом червь будет удален из памяти, если он там находился. Установите модуль обновления MS, перезапустите SQL и установите снова автоматический режим работы.

О Вирусной лаборатории Panda Software

Получив подозрительный файл, технический персонал Panda Software немедленно приступает к работе. Полученный файл анализируется и, в зависимости от его типа, предпринимаются следующие действия: дизассемблирование, проверка макросов, анализ кода и т.д. Если проанализированный таким образом файл действительно содержит новый вирус, немедленно подготавливаются необходимые средства для обнаружения и обезвреживания вредоносного кода, которые быстро распространяются среди пользователей.

Опубликовано: 27 января 2003 г.

Ключевые слова: нет

Извините, комментариев пока нет