812901

Slammer - Aufstieg und Fall eines SQL-Wurms

23.03.2011 | 15:45 Uhr |

Der SQL-Wurm Slammer geht seit acht Jahren im Internet um. Doch in den letzten zwei Wochen sind seine Lebenszeichen deutlich schwächer geworden, die Zahl der Angriffe auf Port 1434 ist stark gefallen. Es wird noch gerätselt, warum.

Am 25. Januar 2003 fand einer der größten Malware-Ausbrüche statt, die das Internet je erlebt hat. Innerhalb von 15 Minuten hat ein Wurm, der eine Sicherheitslücke im Microsoft SQL-Server 2000 ausnutzt, mehrere 100.000 Rechner weltweit verseucht, auch etliche bei Microsoft  selbst. Südkorea war für einige Stunden vom Internet abgeschnitten. Seitdem spukt SQL-Slammer (Alais: Helkern) weiter durch das Netz – doch nun schwächelt er.

Slammer ist ein Wurm, der auf der Festplatte angegriffener Rechner keine Spuren hinterlässt. Die gerade einmal 376 Bytes des SQL-Wurms verbleiben ausschließlich im Arbeitsspeicher des Rechners -- wohl davon ausgehend, dass ein SQL-Server selten herunter gefahren wird. Er zielt auf UDP-Port 1434 und eine uralte Lücke in Microsofts SQL-Server, gegen die es bei Auftauchen von Slammer bereits seit sechs Monaten ein Update (MS02-039) gab.

Seit etwa 10. März 2011 sind sowohl die Zahl der Zielrechner als auch die der angreifenden (verseuchten) Computer auf einen Bruchteil ihrer Werte vor diesem Tag gefallen. Die Zahlen vom 12. März liegen im Vergleich zum 8. März zum Teil bei weniger als 10 Prozent, wie Aleks Gostev im Blog von Kaspersky Lab berichtet. Kevin Shortt vom Internet Storm Center unterstreicht dies  mit einer Grafik, die den Verlauf der Angriffe auf Port 1434 seit 1. März zeigt.

Beide haben jedoch keine überzeugende Erklärung für den plötzlichen Einbruch der Angriffszahlen. Es sind etliche denkbare Ursachen erwogen und wieder verworfen worden. Microsofts Patch Day am 9. März hat keine neuen Updates gebracht, die mit MS SQL zu tun haben. Microsofts "Operation b107" gegen das Rustock-Botnetz hat erst ein Woche später stattgefunden. Kein Internet-Provider, der plötzlich Port 1434 blockieren könnte, ist in allen zehn Ländern tätig, aus denen bis dahin die meisten SQL-Angriffe kamen. Das Phänomen bleibt einstweilen rätselhaft.

0 Kommentare zu diesem Artikel
812901