DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Net-Worm.Win32.Slammer

Kategorie Net-Worm
Plattform Win32
Beschreibung

Technische Details

Helkern (aka Helkern, alias Sapphire) ist ein extrem kleiner Internet-Wurm (nur 376 Bytes), der Microsoft SQL Server 2000 betrifft. Um Opfermaschinen zu erreichen, nutzt der Wurm eine Pufferüberlauf-Schwachstelle (siehe unten).

Wenn der Wurm-Code in einen anfälligen SQL-Server eindringt, übernimmt er die Kontrolle (indem er einen Buffer-Overrun-Trick verwendet) und übernimmt dann drei Win32-API-Funktionen:

GetTickCount (KERNEL32.DLL)
Socket, sendto (WS2_32.DLL)

Der Wurm erhält dann einen zufälligen Zähler, indem er die GetTickCount-Funktion verwendet und in eine endlose Spreiz- oder "Laich" -Schleife geht. In der Spreading-Schleife sendet sich der Wurm an zufällige IP-Adressen (abhängig vom Zufallszähler) an den MS SQL-Port 1434.

Der Wurm sendet Multicast-Pakete, dh mit nur einem "send" -Befehl werden alle 255 Rechner in einem Subnetz erreicht. Infolgedessen verbreitet sich dieser Wurm 255-mal schneller als jeder andere Wurm, der im Moment bekannt ist.

Da MS-SQL-Server häufig im Internet verwendet werden, kann dieser Wurm einen globalen INet-DoS-Angriff verursachen, da alle infizierten Server versuchen, sich in einer Endlosschleife mit anderen zufällig ausgewählten Maschinen zu verbinden. Dies führt zu einem globalen INet-Datenverkehrsüberlauf.

Der Wurm ist nur Speicher und verbreitet sich vom Speicher einer infizierten Maschine auf den Speicher einer Opfermaschine. Der Wurm legt keine zusätzlichen Dateien ab und manifestiert sich in keiner Weise.

Im Wurmcode sind Textzeichenfolgen sichtbar (eine Mischung aus Wurmcode und Daten):

h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
zuQhsend

Pufferüberlauf

Dieses Buffer Overrun-Exploit hat folgenden Namen:
Nicht authentifizierte Remote-Kompromittierung in MS SQL Server 2000

Betroffene Systeme sind:
Microsoft SQL Server 2000, alle Service Packs

Diese Sicherheitsverletzung wurde im Juli 2002 gefunden und später in "MS SQL Server 2000" -Patches behoben.

Sie können mehr darüber unter den folgenden Adressen lesen:
Microsoft-Sicherheitsbulletin MS02-039
NGSSoftware Insight Sicherheitsforschung

Der Patch für MS SQL Server 2000 ist verfügbar unter: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602


Link zum Original