Da ist der Wurm drinnen

Da ist der Wurm drinnen
Veröffentlicht am: 27.01.2003 01:06:05

Seit Samstag terrorisiert der SQL.Slammer Wurm das Internet. Schuld an der Misere sind wieder einmal Windows-Administratoren, die aus den Debakeln rund um Code.Red und Nimda nicht gelernt und ihre Systeme nicht ordentlich gewartet haben.

Der SQL.Slammer Wurm infizierte in Rekordzeit Zehntausende von Servern auf der ganzen Welt, was dazu führte, dass Webseiten langsam oder gar nicht abgerufen werden konnten oder Emails nicht zustellbar waren. Am schlimmsten betroffen waren nach ersten Meldungen der gesamte Pazifische Raum einschließlich Süd Korea wo die meisten lokalen Internetdienste über Stunden nicht erreichbar waren. Aber auch in Europa und Österreich häuften sich die Meldungen, wobei laut IKARUS Software im Land der Berge vor allem die „semiprofessionellen“ Installationen in Kabelnetzwerken betroffen sind.
Nachdem sich die Situation mittlerweile beruhigt hat, erwartet man erneutes Aufflackern des Wurm zu Beginn der Woche, wenn die Desktop-PCs mit den ungepatchten Microsoft Desktop Engine (MSDE) 2000 Versionen in den Büros nach dem Wochenende wieder eingeschaltet werden.

Wie auch schon bei Code.Red und Nimda letztes Jahr, nutzt auch SQL.Slammer eine seit langem (Juli 2002) bekannte Sicherheitslücke im Microsoft SQL-Server aus, um sich zu verbreiten. Der Wurm ist deshalb so erfolgreich in seiner Verbreitung, weil er wesentlich kleiner (376 Byte) als andere Angreifer ist und er sich somit innerhalb eines einzigen UDP-Pakets verschicken kann, was er auch tut. Auf ungepachten Microsoft SQL Server verursacht dies eine sogenannte Buffer-Overflow Attacke die dazu führt das sich der Wurm in den Speicher der betroffenen Server schreiben kann. Nachdem er einen eigenen Prozess (WS2_32.DLL) auf dem infizierten Server gestartet hat versucht es über diesen zufällig ausgewählte IP Adressen über den gleichen UDP-Port (1434) zu infizieren. Dieser Prozess läuft in einer endlosen Schleife und nimmt die dazu gesamte Bandbreite der infizierten Server in Beschlag. Daraus resultiert in Summe auch das massive Aufkommen von Traffic das durch den Wurm verursacht wird.

Im Gegensatz zu vielen anderen Würmern verbreitet er sich allerdings nicht über Outlook und schreibt sich auch nicht auf die Festplatte, sondern verbleibt nur im RAM des Rechners. Ein einfacher Reboot hilft also, um ihn mal schnell los zu werden. Der Wurm befällt nur Systeme, auf denen Microsoft SQL Server 2000 oder Microsoft Desktop Engine (MSDE) 2000 ohne weitere Patches installiert wurde. Um eine Infektion zu verhindern reicht es, den Patch von Microsoft einzuspielen. Wer auf Nummer sicher gehen will, kann auf seiner Firewall auch noch den UDP-Port 1434 sperren.

Informationen von Microsoft zum "Slammer" Virenangriff
RUS-CERT-Meldung "SQL-Server-Wurm verbreitet sich massiv und sorgt für Netzstörungen"

Martin Leyrer

Gedruckt von WCM (http://www.wcm.at/contentteller.php/news_story/da_ist_der_wurm_drinnen.html)