Исследователи Check Point в период с 28 ноября по 4 декабря 2016 г. зафиксировали существенный рост числа атак с использованием сетевого червя SQL Slammer. Атаки были направлены на цели в 172 странах мира, что свидетельствует, скорее, о большой волне разных атак, чем об одной масштабной. Наибольшее число IP-адресов, с которых осуществлялись атаки, пришлось на Китай, Вьетнам, Мексику и Украину.
Примечательно, что последний раз о SQL Slammer было слышно 14 лет назад. Учитывая опасность, которую представляет вирус, исследователи теряются в догадках, кто и зачем его реанимировал.
Впервые о SQL Slammer стало известно в январе 2003 г. Тогда он наделал много шума — ему удалось значительно замедлить скорость работы Сети, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от Интернета.
Специалистам по ИБ так и не удалось установить источник заражения. Точнее, их мнения разделились. Одни считали, что Slammer был запущен с территории США, другие полагали, что за его созданием стоит одна из стран Азии. За считанные минуты с момента появления червь наводнил Интернет. За 10 минут ему удалось заразить 75 тыс. компьютеров.
Исследователи установили, что Slammer имеет небольшой размер (376 байт) и работает по уникальной технологии, благодаря чему и обеспечивается высочайшая скорость его распространения. Несмотря на свое название, червь не использовал язык SQL — он использовал переполнение буфера в продуктах Microsoft SQL Server и Desktop Engine. Несмотря на малый размер вируса, он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера рассылал свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса. От атаки пострадали пять из тринадцати корневых DNS-серверов.
Несмотря на то, что Microsoft выпустила заплатку безопасности для SQL Server 2000 еще годом раньше, в сети насчитывалось огромное количество непропатченных серверных пакетов, а главное, SQL Server — программа чрезвычайно распространённая, что и позволило Slammer нанести урон глобальной сети. Компания MI2G, занимающаяся исследованиями в области компьютерной безопасности, оценила нанесенный вирусом ущерб мировой экономики в районе
SQL Slammer принадлежит к классу так называемых «бестелесных» червей, которые действуют исключительно в оперативной памяти компьютера, что существенно осложняет их обнаружение и нейтрализацию традиционными антивирусными программами-сканерами. Первым представителем этого класса вирусов был червь CodeRed, обнаруженный летом 2001 г. и вызвавший сбои в работе Интернета, в том числе и в российской его части. Впрочем, даже на пике своей активности Code Red был куда менее опасен.
