Slammer creëert stortvloed dataverkeer via oud serverlek

Worm eenvoudig te bestrijden met patch

27 januari 2003 | Redactie PC Magazine De worm die het afgelopen weekend het internetverkeer vertraagde, heeft vooral in Zuid-Oost Azië servers besmet. Opmerkelijk is dat W32/SQL.Slammer misbruik maakt van een veiligheidslek in serversoftware van Microsoft, waarvoor al sinds juli vorig jaar een patch bestaat.

Microsoft SQL Server 2000 en Microsoft SQL Server Desktop Engine 2000 (MSDE) zijn het doelwit van de indringer. De worm infecteert de servers door 376 bytes aan data te sturen naar UDP-poort 1434, de zogenoemde Server Resolution Service-poort. Omdat hij vanaf de besmette server vervolgens nieuwe ip-adressen bestookt met deze data, ontstaat er een enorme toename aan internetverkeer.

Microsoft Security Bulletin MS02-039, dat ervoor waarschuwt dat een buffer overrun in de SQL Server 2000 Resolution Service het mogelijk maakt code uit te voeren, dateert van 24 juli 2002. De patch die het softwarebedrijf beschikbaar heeft gesteld, is opgenomen in SQL Server Service Pack 3. Blijkbaar hebben nog lang niet alle serverbeheerders hun software bijgewerkt.

Alsnog de patch uitvoeren vormt de beste remedie. De worm bestaat alleen in het geheugen en schrijft zichzelf niet weg naar de harde schijf. Met een reboot valt Slammer, ook wel bekend als W32.SQLExp.Worm of Sapphire, te verwijderen. Updaten van de serversoftware is echter noodzakelijk om een nieuwe besmetting te voorkomen.

Voor wie het na deze remedie toch nog niet vertrouwt: Symantec heeft ook een verwijdertooltje online gezet. Het bedrijf denkt overigens dat de stortvloed aan dataverkeer grotendeels is weggeëbd. Lichte naweeën kunnen de komende dagen nog merkbaar zijn. Lees meer artikels over : pc help, slammer, worm

bron: PC Magazine