Worm eenvoudig te bestrijden met patch

De worm, Sapphire of SQL Slammer genoemd, waarover wij 26 januari berichtten, zal mogelijk nog enkele dagen milde overlast veroorzaken, maar de meeste schade zou zaterdag zijn toegebracht, zo heeft de Amerikaanse computerbeveiligingsfirma Symantec laten weten.

Het wormvirus richt zich enkel op Microsoft servers werkend met SQL, te weten; Microsoft SQL server 2000. Het lijkt erop dat de worm tracht een dDOS-aanval te realiseren op willekeurige MS-servers, zo schrijft Virusalert:

'De worm probeert via UDP-poort 1434 een infectie tot stand te brengen. Hiertoe stuurt het een datapakket van 376 bytes wat gebruik maakt van een kwetsbaarheid in MS SQL. Hiermee wordt het automatisch geactiveerd en geinstalleerd op het ontvangende systeem. Het gebruikt hiertoe een buffer-overflow in "Server Resolution". In zowel Service Pack 2 & 3 is een patch beschikbaar voor deze exploit/kwetsbaarheid.
De worm verstuurt multi-cast datapakketjes waardoor verspreiding geschiedt richting alle 255 machines in een subnet. De verspreiding c.q. scan-acties verlopen derhalve 255x sneller dan van voorgaande wormen. Vanaf deze server tracht de worm zich verder te verspreiden richting andere MS-servers, middels een netbios-socket. Via de Windows-tool, GetTickCount, creeert het willekeurige IP-adressen waarnaar het zich tracht te versturen.'

VirusAlert spreekt over een medium-risk worm, categorie "gevaarlijk". Het manifesteert zich alleen op Microsoft SQL servers, een programma voor internetservers die met name gebruikt wordt in de zakelijke markt.