Informatica -en communicatiesystemen in de war door nieuwe worm.
Een nieuwe worm SQLSlammer stuurt serviceweigeringen uit en maakt hiervoor gebruik van een zwakheid van SQL Servers, die netwerkservers en communicatiediensten kan blokkeren.
De worm veroorzaakt volgende problemen nl. vastlopen van e-mail diensten, blockage van het netwerk en het vertragen van de Internetverbinding.
Doordat het zo moeilijk is om de worm op te sporen, kan je hem vergelijken met Code Red.
VILVOORDE, 26 januari 2003
De Technische Support Service van Panda Software Int. ontvangt van over heel de wereld allerlei vragen met betrekking tot de nieuwe worm SQLSlammer. Voor gebruikers is het uiterst moeilijk om de worm te identificeren omdat hij geen uiterlijke kenmerken vertoont. (bestanden, e-mail berichten, etc.).
De nieuwe worm SQLSlammer is afgelopen zaterdag ontdekt. Via een zwakheid in de SQL Servers stuurt deze worm serviceweigeringen uit waardoor hij zo bedrijfsnetwerken aanvalt.
Panda Software beklemtoont dat een groot aantal systemen aangetast kunnen zijn door SQLSlammer zonder dat de network administrator hiervan op de hoogte is. Dit komt doordat veel toepassingen beschikken over een Microsoft SQL Server component als add-in. En aangezien deze worm gebruik maakt van een zwakheid in de server waar een Microsoft SQL toepassing op draait, kunnen deze makkelijk ten prooi vallen aan die systemen die niet uitgerust zijn met het Service Pack 3.
De meeste toepassingen die gebruik maken van Microsoft SQL Server zijn: Compaq Insight Manager; Crystal Reports Enterprise; Dell OpenManage; HP Openview Internet Services Monitor; Microsoft .NET Framework SDK; Microsoft Office XP Developer Edition; Microsoft Project; Microsoft Visio 2000; Microsoft Visual FoxPro; Microsoft Visual Studio.NET en Veritas Backup Exec.
Om te weten of uw server, de Microsoft SQL Server geïnstalleerd heeft, moet u volgende stappen uitvoeren ;
1) Open een commando venster in de server.
2) Typ het commando "netstat -p udp a
3) Ga na of de tekst die verschijnt op het scherm overeenkomt met de tekst zoals die hieronder beschreven staat:
UDP :ms-sql-m
Deze tekst geeft aan dat de server de toepassing Microsoft SQL Server draait en het is daarom aangewezen om volgende update uit te voeren:
http://www.microsoft.com/technet/security/bulletin/MS02-039.asp
De hoofdbedoeling van SQLSlammer is om aanvallen met serviceweigeringen te lanceren op de servers van bedrijfsnetwerken via verschillende paketten met daarin de code van de worm naar poort 1434. De functies en de karakteristieken van het virus zijn vergelijkbaar met die van Code Red, die op zijn beurt gebruik maakte van de zwakhied van IIS waardoor het erg snel kon verspreiden zonder enig spoor achter te laten. Volgens Computer Economics, loopt de schade die Code Red heeft aangericht in 2001 op tot 2,970 million euros.
Meer info over SQLSlammer en andere gevaarlijke codes vind je op Panda Software s Virus Encyclopedia op: http://www.pandasoftware.com/virus_info/
Voor meer informatie :
Deborah Dupaix
Marketing & Communicatie
d.dupaix@pandasoftware.be