27.01.2003 Атака опасного сетевого червя Worm.SQL.Helkern

Данный червь существует только в оперативной памяти компьютера и не создаёт своих копий на диске. Ранее подобная технология была применена в реализации сетевых червей IIS-Worm.CodeRed и IIS-Worm.CodeBlue. Фактически это саморазмножающийся Exploit.

Для своего размножения и запуска червь применяет ошибку переполнения буфера в реализации SQL Server 2000 Resolution Service. Уязвимости подвержены системы, включающие Microsoft SQL Server 2000 без установленного Service Pack 3. Worm.SQL.Helkern рассылает своё тело UDP пакетами на порт 1434. При получении такого пакета программой Microsoft SQL Server 2000 код червя начинает выполняться.

Далее червь в бесконечном цикле рассылает инфицированные пакеты по случайным IP-адресам. Если адрес равен значению X.Y.Z.0 или X.Y.Z.255, то пакет рассылается по всем адресам, находящимся в этой же подсети, благодаря чему червь может размножаться с огромной скоростью.

В связи с тем, что инфицированный компьютер постоянно рассылает UDP пакеты со своим телом по сети, это приводит к замедлению работы системы, а иногда и к полному отказу системы.

В теле червя содержатся следующие строки:

• kernel32.dll
• GetTickCount
• ws2_32.dll
• socket
• sendto

Методы защиты серверов от данного червя:

• Установить Service Pack 3 от Microsoft и перезагрузить сервер;
• При помощи Firewall блокировать порт 1434;
• Установить патч к MS SQL Server 2000 исправляющий данную ошибку.