Исследователи Check Point в период с 28 ноября по 4 декабря 2016 г. зафиксировали существенный рост числа атак с использованием сетевого червя SQL Slammer. Атаки были направлены на цели в 172 странах мира, что свидетельствует, скорее, о большой волне разных атак, чем об одной масштабной. Наибольшее число IP-адресов, с которых осуществлялись атаки, пришлось на Китай, Вьетнам, Мексику и Украину.

Примечательно, что последний раз о SQL Slammer было слышно 14 лет назад. Учитывая опасность, которую представляет вирус, исследователи теряются в догадках, кто и зачем его реанимировал.

Впервые о SQL Slammer стало известно в январе 2003 г. Тогда он наделал много шума — ему удалось значительно замедлить скорость работы Сети, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от Интернета.

Специалистам по ИБ так и не удалось установить источник заражения. Точнее, их мнения разделились. Одни считали, что Slammer был запущен с территории США, другие полагали, что за его созданием стоит одна из стран Азии. За считанные минуты с момента появления червь наводнил Интернет. За 10 минут ему удалось заразить 75 тыс. компьютеров.

Исследователи установили, что Slammer имеет небольшой размер (376 байт) и работает по уникальной технологии, благодаря чему и обеспечивается высочайшая скорость его распространения. Несмотря на свое название, червь не использовал язык SQL — он использовал переполнение буфера в продуктах Microsoft SQL Server и Desktop Engine. Несмотря на малый размер вируса, он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера рассылал свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса. От атаки пострадали пять из тринадцати корневых DNS-серверов.

Несмотря на то, что Microsoft выпустила заплатку безопасности для SQL Server 2000 еще годом раньше, в сети насчитывалось огромное количество непропатченных серверных пакетов, а главное, SQL Server — программа чрезвычайно распространённая, что и позволило Slammer нанести урон глобальной сети. Компания MI2G, занимающаяся исследованиями в области компьютерной безопасности, оценила нанесенный вирусом ущерб мировой экономики в районе 0,95-1,2 млрд. долл.

SQL Slammer принадлежит к классу так называемых «бестелесных» червей, которые действуют исключительно в оперативной памяти компьютера, что существенно осложняет их обнаружение и нейтрализацию традиционными антивирусными программами-сканерами. Первым представителем этого класса вирусов был червь CodeRed, обнаруженный летом 2001 г. и вызвавший сбои в работе Интернета, в том числе и в российской его части. Впрочем, даже на пике своей активности Code Red был куда менее опасен.

Версия для печати (без изображений)