Nel corso di questo fine settimana ha colpito ovunque, bloccando siti e servizi essenziali
27 gennaio 2003 Diversamente dalla quasi
totalità dei virus in circolazione attualmente, Sql Slammer
(nome tecnico: W32.SqlSlammer.A) non arriva come messaggio di posta elettronica.
Si diffonde infatti soltanto come processo dei sistemi Microsoft Sql
Server 2000 privi di patch che correggono i problemi di sicurezza .
Quantunque Sql Slammer non infetti
i sistemi della gran massa degli utenti finali, il suo impatto è stato
indirettamente osservato da molti navigatori di Internet, dato che diversi
server della rete sono stati colpiti, diventando lenti e in alcuni casi
inutilizzabili via Rete. Per certi versi, dunque, il suo effetto è simile a
quello del virus CodeRed
, che ha colpito massicciamente i server Internet nell’estate del 2001.
Scoperto per la prima volta il 25 gennaio 2003, Sql Slammer è stato notato dopo pochissimo tempo in parecchie nazioni del globo, inizialmente nella Corea del Sud dove molti servizi Internet sono stati bloccati per alcune ore, poi anche nel Sud-ovest dell’Asia, in Giappone e India.
Il virus si diffonde provocando un
errore di “buffer overflow
” nel servizio “Server Resolution” dei software Microsoft Sql Server, che opera con la porta UDP numero 1434. La raccomandazione per i responsabili di sicurezza è di bloccare a livello di firewall il traffico su questa porta. Naturalmente, la cosa migliore è apportare le necessarie patch al software Sql Server, proposte da Microsoft, per risolvere il problema di sicurezza.
In pratica, il virus funziona aprendo un socket Netbios per inviare il pacchetto del Worm, utilizzando una funzione Api di Windows (GetTickCount) per generare un indirizzo IP casuale dove inviare il pacchetto. Infine, si invia ripetutamente, di continuo, a tutti gli indirizzi IP generati sulla porta UDP 1434, provocando effettivamente un problema di “Denial of Service” (DoS) del server.
Il problema di sicurezza sfruttato dal virus è noto dal luglio 2002 ed è documentato da Microsoft nel bollettino MS02-039.
Caratteristica
peculiare di questo virus è che risiede solo in memoria e non scrive
nulla sui dischi del sistema infettato. Molti software antivirus non
possono dunque intercettarlo facilmente, a meno di analizzare la memoria Ram
esplicitamente. Ciò significa anche che il semplice riavvio del sistema può
eliminare il virus dalla memoria ram, sebbene esso possa rientrare se non si
applicano le appropriate patch di correzione al problema di sicurezza della
porta 1434.
