Dit weekend heeft een nieuwe worm toegeslagen, waardoor de internetverbindingen afgelopen weekeinde tergend traag werden, hertgeen zich doorzette in het begin van de werkweek. De Slammer-worm wordt vergeleken met Code Red.
De worm, W32/SQL Slammer of kortweg ‘Slammer’ genoemd, heeft het gemunt op Microsoft SQL 2000 Web servers en wordt door beveiligingsbedrijven even gevaarlijk genoemd als de beruchte virussen Code Red en Nimda.
Experts van Kaspersky Labs hebben de oorsprong van Slammer proberen te achterhalen, meldde Webwereld. "Aanvankelijk dachten we dat het in de Verenigde Staten was begonnen. Na een analyse blijkt echter dat de worm uit Nederland komt", aldus Denis Zenkin, woordvoerder van Kaspersky. De eerste versies van het virus zijn van 20 januari. Zij komen van twee Nederlandse servers.
Slammer dringt binnen via een zwakke plek die al bekend is sedert vorige zomer en waarvoor sindsdien ook een patch bestaat. Slammer neemt servers over door gebruik te maken van een buffer overflow, en zendt daarop een golf datapakketjes uit, zodat het effect lijkt op een denial-of-service attack. De computers van eindgebruikers worden er niet door aangetast, maar het effect is wel merkbaar doordat surfen en e-mailen veel trager gaat. Slammer tast geen files aan, waardoor een getroffen systeem eenvoudig kan worden hersteld door te rebooten.
Gebruikers van SQL Server 2000 wordt aangeraden om de SQL Server 2000 Service Pack 3 te installeren, en UDP poort 1434 in de firewall te blokkeren.
Meer info is, samen met de patch, beschikbaar op de website van Microsoft (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp).
