Вирус Зал славы: SQL Slammer Virus

Время чтения: 3 минут

Любой список памятных компьютерные вирусы пришлось бы включать вирус Slammer SQL, выпущенный в 2003 году. Я, конечно, помню это. В то время я работал в UPS IT, и у нас было несколько серверов.

Название вируса немного вводит в заблуждение, поскольку оно не включает SQL, язык структурированных запросов для систем баз данных. Он использовал проблему с переполнением буфера в системе баз данных Microsoft SQL Server. Это могло не только разрушить базу данных, но, в некоторых случаях, целые сети.

Вирус, фактически червь, был удивительно прост. Он генерировал случайные IP-адреса и затем отправлял себя на эти адреса. Если служба разрешения SQL Server, используемая для поддержки нескольких экземпляров SQL Server на одном компьютере, хост заражается. Служба разрешения использует порт UDP, используемый для отправки дейтаграмм Интернета, небольших сообщений, которые можно быстро отправить. Очень быстро, как этот вирус докажет.

Вирус использовался для сбоя сервера базы данных одним из двух способов. Это может привести к перезаписи части системной памяти случайными данными, которые будут занимать всю доступную память сервера. Он также может запускать код в контексте безопасности службы SQL Server, который может отключить сервер.

Третье использование вируса заключалось в создании «отказа в обслуживании». Злоумышленник может создать адрес, который, как представляется, приходит из одной системы SQL Server 2000, а затем отправить его в соседнюю систему SQL Server 2000. Это создало бесконечный цикл обмена сообщениями, потребляя ресурсы в обеих системах и снижая производительность.

Мало кто из вирусов так быстро вызвал такое большое общественное разрушение. По данным исследования вируса и его воздействия, проведенного в Университете штата Индиана, «основной характеристикой червя является его необычайная скорость распространения. Предполагается, что он достиг своего полного уровня глобальной интернет-инфекции в течение десяти минут после выпуска. На своем максимуме (достигнутом в воскресенье, 26 января) примерно 120,000 1 отдельных компьютеров во всем мире были заражены, и эти компьютеры генерировали в совокупности более XNUMX терабит в секунду трафика заражения ».

По их оценкам, при пике заражения 15% интернет-хостов были недоступны из-за вируса.

В Южной Корее большинство пользователей не могли получить доступ к Интернету около 10 часов. Он сломал банкоматы Bank of America и вызвал перебои в работе системы 911 в Сиэтле. Он обрушил сеть Akamai, который управлял веб-сайтами таких известных компаний, как Ticketmaster и MSNBC. Continental Airlines пришлось отменить рейсы из-за проблем с системой продажи билетов.

Хорошие новости были удаление вирусов было относительно легко ответить. Это было легко очистить из памяти и предотвратить с помощью брандмауэра затронутых портов. Фактически, Microsoft выпустила патч для уязвимости переполнения годом ранее. Исправление уже было доступно для скачивания.

Что приводит к интересной части этой истории. Происхождение вируса принадлежит Дэвиду Литчфилду, исследователю, который определил проблему и создал программу «доказательства концепции». Литчфилд представил свои выводы сотрудникам Microsoft, которые, к сожалению, были в порядке с ним, представив их и доказательство концепции на знаменитой ежегодной конференции Black Hat. Предполагается, что создатели получили код и концепцию из своей презентации.

Как Microsoft могла позволить ему сделать это?

Они явно думали об этом как о старых новостях. Они выпустили исправление и были заняты работой над следующей версией, SQL Server 2005.

Конечно, инцидент вызвал пожар под цифровым тылом Microsoft, чтобы сосредоточиться на безопасности для SQL Server 2005. Это сработало, потому что с SQL Server с тех пор ничего подобного не происходило.

НАЧАТЬ БЕСПЛАТНУЮ ИСПЫТАНИЕ ПОЛУЧИТЕ СВОЙ МОМЕНТ БЕЗОПАСНОСТИ БЕСПЛАТНО