München/Wien (OTS) - W32 SQL Slammer nutzt eine Sicherheitslücke
bei Microsofts SQL Server und greift das Internet an; Network
Associates bietet mit "Stinger" ein Tool zur Identifizierung
betroffener Rechner und zur Beseitigung des Wurms
AVERT (Anti Virus Emergency Response Team), das
Virenforschungslabor von Network Associates (NYSE: NET), stuft den
kürzlich entdeckten Wurm W32/SQL Slammer, auch unter "Slammer"
bekannt, als äußerst gefährlich ein. Slammer ist ein Wurm, der eine
Sicherheitslücke von Microsofts SQL 2000 Server ausnützt und enormen
Datenverkehr über UDP Port 1434 generiert. Dadurch wird das Internet
extrem belastet, die Betreiber der Server müssen mit sehr hohen
zusätzliche Kosten durch die zusätzlich verschickten großen
Datenmengen rechnen. Der Wurm sucht und infiziert weitere SQL Server
und dehnt sich dadurch sehr schnell aus. Weltweit sind bereits viele
Unternehmen betroffen, es dürften Tausende von Servern mit diesem
Wurm infiziert sein. Der Wurm verbreitet sich schneller als "Code
Red" und greift durch die von ihm generierte Datenlast die Internet
Performance an. Beeinträchtigungen sind derzeit im Bereich von
VoIP-Verbindungen und bei Downloads aus dem Internet festzustellen.
Symptome Slammer verursacht erhöhten Datenverkehr über UDP 1434
Port und verbreitet sich über Microsofts SQL 2000 Server, die
regelmäßig das Internet nach andere SQL-Servern absuchen, um sie mit
dem Wurm zu infizieren. Der Wurm verursacht einen Buffer Overflow,
und gewinnt damit die Kontrolle über den Server, der jeweils Ziel des
Angriffs ist. SQL Server, die bereits mit dem Service Pack 3
ausgestattet sind, sind von Slammer nicht betroffen. Slammer ist nur
376 Bytes groß und beinhaltet folgende Sequenzen:
h.dllhel32hkernQhounthickChGetTf hws2 Qhsockf toQhsend
Beseitigung des Virus Ähnlich wie der CodeRed.A Wurm aus dem Jahre
2001 hinterlässt Slammer keine Spuren auf der Festplatte und ist nur
im Speicher aktiv. Für konventionelle Virenscanner ist es daher
unmöglich, auf Dateiebene nach digitalen Schädlingen zu suchen und
damit den Wurm zu erkennen. Network Associates hat zur Erkennung und
Bereinigung von infizierten Rechnern eine aktualisierte Version des
Stand-Alone Remover Utility "Stinger" entwickelt. Sie steht unter
http://vil.nai.com/vil/stinger/ kostenlos zum Download zur Verfügung.
Wichtige Informationen zur Beseitigung des Wurms gibt es online auf
der Network Associates AVERT Website unter
http://vil.nai.com/vil/content/v_99992.htm. AVERT empfiehlt Anwendern
bzw. Administratoren dringend ein Update ihrer Server mit dem
Servicepack 3 für MS SQL 2000 Server und den anschließenden Neustart
der Server. Das Servicepack ist bei Microsoft erhältlich unter:
http://www.microsoft.com/sql/downloads/2000/sp3.asp Durch das
Servicepack und den Neustart des Rechners wird der Virus aus dem
Speicher entfernt und eine erneute Infizierung des Servers
verhindert.
Hinweis: Network Associates, McAfee, PGP, Sniffer, VirusScan,
WebShield, NetShield, GroupShield, PrimeSupport, Enterprise
SecureCast und Magic Solutions sind registrierte Handelsmarken von
Network Associates, Inc. und/oder ihrer Partner in den USA und/oder
anderen Ländern. Alle anderen registrierten oder nicht registrierten
Handelsmarken in diesem Dokument sind das alleinige Eigentum ihrer
jeweiligen Besitzer.
Kurzprofil von Network Associates Network Associates Inc. zählt
weltweit zu den führenden Softwareunternehmen und bietet
unternehmensweite Lösungen für Netzwerk-Sicherheit und -Management.
Neben den McAfee Virenschutz-Produkten vertreibt das Unternehmen
Netzwerk- und Anwendungsmanagement von Sniffer Technologies sowie
Service Desk Applikationen von Magic Solutions. Das Unternehmen mit
dem Hauptsitz Santa Clara, Kalifornien, USA, wird an der NYSE unter
dem Kürzel NET geführt. Weitere Informationen erhalten Sie unter
www.networkassociates.com/ international/germany/.
OTS-ORIGINALTEXT UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | EUN
