В прошедшие выходные интернет подвергся
одной из самых крупных вирусных атак за всю
историю. В результате активизации червя
Slammer скорость работы Сети значительно
замедлилась, а некоторые регионы, например,
Южная Корея, оказались практически
отрезанными от интернета.
Вирусная атака началась в 0:30 по времени
Восточного побережья США или в 8:30 по
московскому времени. Где находился
источник заражения, до сих пор точно не
известно. Некоторые специалисты по
компьютерной безопасности предполагают,
что вирус распространялся с территории США,
другие же считают, что его родина находится
где-то в Азии. За считанные минуты червь,
использующий уязвимость в СУБД Microsoft SQL Server
2000, наводнил интернет. Несмотря на малый
размер вируса, он смог создать в каналах
передачи данных настоящие пробки,
поскольку после заражения компьютера он
начинает рассылать свой код по случайным IP-адресам
в бесконечном цикле. Если по какому-либо из
адресов обнаруживался уязвимый компьютер,
он заражался и тоже начинал рассылать копии
вируса.
Все это привело к крупномасштабному росту
трафика. На пике активности червя на один
сервер могли приходить сотни запросов в
минуту. Не выдержав возросшей нагрузки,
некоторые серверы попросту падали. В это
время только в США терялось до 20% IP-пакетов,
что в десять раз превышает нормальный
уровень. По имеющимся данным, от атаки
пострадали и пять из тринадцати корневых DNS-серверов.
Наиболее сильно от атаки Slammer пострадала
Южная Корея, где интернетом пользуются семь
из каждых десяти жителей. Однако в субботу
эта страна оказалась практически
отключенной от глобальной Сети. В частности,
под напором Slammer обрушилась сеть
крупнейшего южнокорейского провайдера KT Corp.
Серьезно пострадали также провайдеры Hanaro
Telecom Inc. и Thrunet, занимающие, соответственно,
второе и третье места на южнокорейском
рынке сетевых услуг. Работоспособность
была восстановлена уже к субботнему вечеру,
однако скорость работы интернета еще долго
оставалась низкой.
Отключение интернета в Южной Корее
сказалось и на работе Сети во всем
азиатском регионе - скорость работы
интернета здесь была наименьшей. В Европе
замедление также было серьезным, однако до
южнокорейских масштабов катастрофа не
дошла. Американские провайдеры интернета, в
большинстве своем, стабильно работали во
время атаки, хотя скорость передачи данных
была значительно ниже обычной. В течение
субботы атака Slammer постепенно сошла на нет,
однако эксперты по компьютерной
безопасности опасаются, что вирус еще
вернется. Субботняя атака нанесла
значительно меньше ущерба, чем если бы она
проводилась в разгар рабочей недели. Вполне
вероятно, что субботняя эпидемия - всего
лишь репетиция перед настоящей атакой на
инфраструктуру Сети, от которой зависит
бизнес множества компаний по всему миру.
О дыре в MS SQL Server 2000 стало известно еще
прошлым летом, а заплатка к ней содержится в
выпущенном недавно Microsoft пакете обновлений
Service Pack 3. Тем не менее за установку патчей
администраторы взялись лишь после атаки
Slammer. Однако удалось это немногим: сайт Microsoft,
откуда только и можно было взять заплатку,
оказался перегружен.
По информации "Лаборатории Касперского", интернет-червь Slammer, заражающий серверы под управлением системы баз данных Microsoft SQL Server 2000, имеет небольшой размер (376 байт) и работает по уникальной технологии, благодаря которой обеспечивается высочайшая скорость его распространения. Он принадлежит к классу так называемых "бестелесных" червей, которые действуют исключительно в оперативной памяти компьютера, что существенно осложняет их обнаружение и нейтрализацию традиционными антивирусными программами- сканерами. Первым представителем этого класса вирусов был червь CodeRed, обнаруженный летом 2001 года и вызвавший сбои в работе интернета, в том числе и в российской его части. Впрочем, даже на пике своей активности, Code Red был куда менее опасен.
Новый червь заражает компьютеры под управлением СУБД Microsoft SQL Server 2000, которая сравнительно часто используется на веб-серверах. Для домашних пользователей, не работающих с SQL Server, червь опасности не представляет. Slammer проникает на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun), для чего на атакуемый компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя.
После заражения сервера Slammer запускает бесконечный цикл распространения (командой "sendto") на случайно выбранные адреса в сети в порт UDP 1434 (при этом используются случайные данные от команды "GetTickCount") и, таким образом, многократно увеличивает сетевой трафик. По утверждению специалистов "Лаборатории Касперского", помимо создания большого объема избыточного сетевого трафика, Helkern не имеет других побочных действий, в том числе, деструктивных.
Чтобы избавиться от Slammer, нужно перезагрузить заражённый компьютер. Так как червь находится только в памяти компьютера, после перезагрузки он исчезнет. Однако если патч не установлен, вероятность повторного заражения сохраняется.
