Slammer lässt’s knallen im Internet

26.01.2003 - Am Samstag früh gegen 6 Uhr 30 Mitteleuropäischer Zeit hat ein Wurm den Internet- Verkehr sprunghaft ansteigen lassen. W32/SQLSlammer verbreitete sich vor allem auf Web-Servern in Asien so massiv, dass dort fühlbare Einschränkungen in den Reaktionszeiten der Server auftraten und deutlich mehr Datenpakete verloren gingen (siehe Abbildung). Auch fünf der 13 zentralen Nameserver des Internet sollen vorübergehend nicht mehr erreichbar gewesen sein. Bei Slammer handelt es sich nicht um einen Mail-Wurm. Verletzlich sind nur Server, die Microsoft SQL Server 2000 nutzen, ohne dass das aktuelle Service Pack 3 installiert ist.

Slammer alias SQLP1434.A oder Helkern verschickt keine Mails und infiziert keine Mailanwender oder Surfer. Der mit 376 Byte vergleichsweise kleine Wurm nutzt eine Buffer-Overflow-Sicherheitslücke in Microsoft SQL Server 2000, um seinen Code auf fremden Rechnern einzuschleusen. Er existiert dort nur im Arbeitsspeicher (RAM) und verfolgt dort unablässig nur das Ziel, andere Server über den UDP-Port 1434 (teilweise ist auch von Port 1433 die Rede) zu infizieren. Die von ihm attackierten IP-Adressen wählt er zufällig und erzeugt damit sehr viel Datenverkehr mit dem Internet, in dem die meisten der generierten Adressen liegen. Er sendet dabei „Multicast Packets“, die alle 255 Rechner in einem Subnetz gleichzeitig adressieren, so dass er sich sehr schnell verbreiten kann.

Der Wurm besitzt keine spezielle Schadfunktion. Er belastet infizierte Server nur durch die Endlosschleife, mit der er Infektionsopfer sucht. Das Internet zieht er in Mitleidenschaft, indem eine wachsende Zahl von Wurmkopien eine Flut von Datenpaketen an potentielle Infektionsopfer, aber auch nicht existierende Maschinen schickt. Daher ist im Zusammenhang mit Slammer auch von einer DDoS-Attacke (Distributed Denial of Service) auf das Internet die Rede, da die Gefahr besteht, dass es angesichts des erhöhten Datenaufkommens seine eigentlichen Aufgaben nicht erfüllen kann (Denial of Service).

Slammer speichert sich nicht als Datei – ist also für übliche Antivirenprogramme schwer zu finden. Sein Vorgehen erinnert am ehesten an CodeRed, der am 20. Juli 2001 entdeckt wurde. Mehrere Antivirenfirmen warnen am Wochenende vor Slammer und stuften die Bedrohung als sehr hoch ein. Beispielsweise nahm Trend Micro die Einstufung „roter Alarm“ vor; man spricht dort von der massivsten Attacke auf das Internet seit CodeRed.

Infizierte Maschinen sind nach dem Booten wieder wurmfrei, allerdings ohne weitere Gegenmaßnahmen binnen kurzer Zeit vermutlich erneut infiziert. Einer Infektion kann durch das Einspielen des Service Packs 3 für Microsoft SQL Server 2000 oder das Schließen der betroffenen Ports vorgebeugt werden.

Auf einen Blick:	W32/SQLSlammer (auch: SQLP1434.A, Helkern, SQL Slammer, Sapphire)
Auftreten	25.01.2003, 5 Uhr 30 GMT
Typ	Internet-Wurm
Schadfunktion	keine
Besonderheiten	mit 376 Byte äußerst kurz, befällt nur Server mit Microsoft SQL Server 2000 ohne Service Pack 3
Weitere Informationen	http://vil.nai.com/vil/content/v_99992.htm www.f-secure.com/v-descs/mssqlm.shtml