Vírusy.sk - Informačný web server (www.virusy.sk)

Novinky - PC Vírusy - AV Systémy - Virus Bulletin - Download

_Novinky__
Editoriál
Novinky

_PC Vírusy__
Popisy vírusov
Vírusový radar
Poplašné správy
Napadnutý vírusom?
Diskusia o vírusoch

_AV Systémy__
AV programy
AV spoločnosti
AV testy
Trial verzie AV
Online verzie AV
Jednoúčelové AV
Diskusia o AV

_Virus Bulletin__
Virus Bulletin
Virus Bulletin
2004-2005

_O Vírusoch__
eKonferencie
Encyklopédie
Publikácie

_Redakcia__
Kontakt
Spolupráca

_Partneri__
LTC.sk

_Spriatelené sajty__
AVIR.sk
DrWeb32.sk
AEC.sk
Grisoft.cz
BitDefender.com
Info Consult.sk

 

 
 
27.01.2003 - Martin LEPIŠ - Popisy vírusov
Win32/SQL.Slammer  (... alias I-Worm.SQL.Helkern)

Dňa 25.1.2003 priniesla väčšina AV-spoločností správu o novom internetovom červovi nazvanom Win32/SQL.Slammer. Ten infikuje výlučne počítačové systémy disponujúce aplikáciami MS SQL Server 2000 a MS Desktop Engine 2000, ktoré nie sú vybavené najnovším servisným balíkom – nesúcim označenie SP3. Výnimočnosť červa spočíva v tom, že sa nešíri infikovanými súbormi, ani emailovými správami, ale priamo počítačovou sieťou. V rámci nej vyhľadáva počítače, na ktorých sú aktívne vyššie uvedené aplikácie a prostredníctvom 376 bajtového UDP paketu zaslaného na port 1434, ktorý používa SQL server infikuje vzdialený systém. Čo je však dôležité, kód červa sa neukladá na pevný disk infikovaného systému, ale ostáva umiestnený iba v jeho pamäti. Priama možnosť jeho identifikácie AV-systémom je preto dosť problematická... .

Počítačový červ Win32/SQL.Slammer (... známy tiež ako I-Worm.SQL.Helkern alebo Win32.SQLExp.Worm) bol naprogramovaný priamo v assembleri, o čo jednoznačne svedčí aj jeho miniatúrna veľkosť – len 376 bajtov. Šíri sa výlučne prostredníctvom počítačovej siete, v ktorej vyhľadáva systémy disponujúce aplikáciami MS SQL Server 2000 a MS Desktop Engine 2000, bez nainštalového SP3. Takýmto sytémom červ zasiela "špeciálny" UDP paket na port 1434 (... ktorý používa práve MS SQL Server), ktorý po prijatí spôsobí na vzdialenom systéme vznik chyby nazývanej pretečenie zásobníka (tzv. buffer overflow). Tá má za následok aktiváciu vykonateľného kódu samotného červa, ktorý sa však neukladá na pevný disk infikovaného systému, ale zotrváva výlučne v jeho operačnej pamäti. Následne potom, červ náhodne generuje IP adresy počítačov dostupných v sieti Internet a prostredníctvom portu 1434 na ne neustále posiela vo forme UDP paketu svoje vlastné telo. Touto operáciou si zabezpečuje permanentný proces rozširovania, čím môže vzhľadom na zvýšenie záťaže infikovaného systému spôsobiť jeho kolaps.
Dôležitou informáciou pre všetkých používateľov v súvislosti s týmto internetovým červom je to, že neobsahuje vo svojom tele žiadnu deštruktívnu rutinu. Okrem svojho masového šírenia sa počítačovou sieťou Internet teda nevykonáva žiadnu ďalšiu – nebezpečnú – činnosť.

Ako zabezpečiť počítač pred útokmi zo strany červa Win32/SQL.Slammer?
Dosť jednoducho, navštívte web stránky softvérovej spoločnosti Microsoft, stiahnite si z nich najnovší opravný balíka – SP3 – pre aplikáciu MS SQL Server 2000 a nainštalujte ho do svojho systému (... inštaláciu ukončite korektne, čiže reštartom počítača). To je viac-menej všetko, čo potrebujete k tomu, aby bol Váš počítač odolný voči útokom zo strany červa Win32/SQL.Slammer.

Ako sa zbaviť červa Win32/SQL.Slammer?
Najrýchlejším spôsobom je reštart infikované počítača, po ktorom sa červ odstráni z pamäte. Keďže svoje telo neukladá na pevný disk pri novom štarte OS sa nedokáže opätovne aktivovať. Stať sa tak môže jedine vtedy, ak nezabezpečený počítač znova napadne priamo prostredníctvom počítačovej siete.
Ak máte záujem o okamžitú elimináciu červa Win32/SQL.Slammer z operačnej pamäte infikovaného počítača (napr.: za účelom pozastavenia procesu jeho rozširovania alebo inštalácie najnovšieho opravného balíka bez nutnosti predchádzajúceho reštartu) odporúčame Vám použiť niektorý z ponúkaných jednoúčelových AV-programov: Win32_sql-slammer.EXE (Symantec) alebo Win32_sql-slammer.ZIP (BitDefender), ktoré sú dostupné na našom web sajte v sekcii nazvanej Jednoúčelové AV.

Vytlačiť článok... Zdroj: F-Secure.com


Systémové hlásenie:
Pri generovaní stránky sa vyskytla nasledujúca chyba - nepodarilo sa nájsť požadovaný zdroj dát!

Na odstránení vzniknutého stavu sa intenzívne pracuje, skúste navštíviť naše web stránky o niečo neskôr.