27 januari 2003
WAARSCHUWING VIRUSWORM SQL 'SLAMMER'
Afgelopen weekend is internet ernstig vertraagd geraakt door de
razendsnelle verspreiding van SQL worm 'slammer'. De worm heeft het
o.a. gemunt op SQL servers die draaien op Windows 2000. Het virus
maakt gebruik van een lek dat al geruime tijd geleden is
geconstateerd.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec
urity/virus/alerts/slammer.asp
http://vil.mcafee.com/dispVirus.asp?virus_k=99992
http://securityresponse.symantec.com/avcenter/venc/data/w32.sqlexp.wor
m.html
http://www.virusalert.nl/?show=virus&id=407
Ook XS4ALL constateerde grote hoeveelheden data-verkeer afkomstig van
besmette servers. We hebben op diverse plaatsen op ons netwerk filters
opgezet. Hierdoor is SQL Server Resolution Service verkeer via UDP
poort 1434 in deze delen van ons netwerk momenteel niet mogelijk. In
totaal is er alleen dit weekend al door XS4ALL een kleine 30 gigabyte
aan besmet verkeer afgevangen. Op het hoogtepunt van de verspreiding
zorgde 'SQL Slammer' afgelopen zaterdag voor een vermindering van 20
tot 23 % van de bereikbaarheid van het gehele internet.
http://average.matrix.net/Weekly/markR.html
http://isc.sans.org/port1434start.gif
Er is een reële kans dat het virus zich opnieuw zal verspreiden en
voor vertraging van het internet zal zorgen als ongepatchte systemen
en computers na het weekend worden opgestart. XS4ALL raadt een ieder
die gebruik maakt van SQL server 2000 of van Microsoft SQL Desktop
Engine (MSDE2000) dan ook met klem aan te controleren of de patch die
Microsoft heeft uitgebracht na melding van het lek correct is
toegepast. Nogal wat programma's maken gebruik van MSDE. Een lijst van
programma's die gebruik maken van MSDE vindt u hier:
http://www.sqlsecurity.com/DesktopDefault.aspx
De geupdate patch vindt u hier:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/sec
urity/bulletin/MS02-061.asp