Slammer

Материал из Энциклопедия фан-клуба Лаборатории Касперского
Перейти к: навигация, поиск

Net-Worm.Win32.Slammer — интернет-червь, заражающий сервера работающие под Microsoft SQL Server 2000.

Содержание

История

Атака была начата 25 января 2003 года, в течение 10 минут было заражено более 75 тыс. серверов, что привело к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы попросту падали. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень.

Технические детали

  • Распространяется от компьютера к компьютеру пересылая на очередной (заражаемый) компьютер, через порт 1434, свой код и запуская этот код на выполнение путём использования ошибки в программном обеспечении MS SQL (см. ниже).
  • Червь имеет крайне маленький размер - всего 376 байт.
  • Червь присутствует только в памяти заражённых компьютеров и не создаёт своих копий в дисковых файлах. Более того, при работе червя никакие файлы не создаются, и червь никак не проявляет себя (помимо сетевой активности заражённого компьютера).
  • При активизации на заражаемом компьютере червь получает адреса трёх функций Windows:
GetTickCount (KERNEL32.DLL)
socket, sendto (WS2_32.DLL)
  • Затем червь в бесконечном цикле посылает свой код (командой "sendto") на случайно выбранные адреса в сети (при этом использует случайные данные от команды "GetTickCount").
  • Поскольку SQL-сервера часто используются в качестве стандартной базы данных на Web-серверах, то данный червь может замедлить работу Интернета в глобальных масштабах, поскольку все заражённые сервера в бесконечном цикле посылают пакеты на случайно выбранные адреса в сети - и, следовательно, сильно увеличивают сетевой трафик.

В коде червя видны строки:

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend

Реализация атаки

  • Для реализации атаки на сервера используется одна из ошибок в защите IIS типа: Remote Buffer Overrun Vulnerability
  • Название конкретной применяемой атаки: Unauthenticated Remote Compromise in MS SQL Server 2000

Данная ошибка была обнаружена в июле 2002 года и исправлена последующими патчами кMS SQL Server 2000.

Ссылки

Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты