"SQL Slammer"

(2003-01-31)

I tidningarna i helgen har man kunnat läsa om den hemska virusattacken som lamslog stora delar av internet, och man går även ut och varnar för nya attacker. Känns som det är dags att reda ut ett och annat och berätta vad som verkligen hände.

Först och främst, det som hände borde inte ha hänt. Och då menar jag inte att den som skrev "viruset" (egentligen en "mask") inte borde ha skrivit det, utan att säkerhetsansvariga på företag världen över vid det här laget borde känna till att det kan vara bra med en brandvägg.

Viruset orsakade heller ingen skada på de datorer det drabbade, utan allt det gjorde var att sprida sig. Nu blev visserligen spridningen såpass omfattande att det slöade ner internet en stund medan det härjade som värst, men när det dragit över lämnde det inga spår efter sig.

Förhoppningsvis har det dock fått företag världen över att förstå att det kan vara bra att ha en rätt inställd brandvägg samt att hålla sina datorer uppdaterade. För att viruset skulle kunna sprida sig krävdes inte bara att man saknade brandvägg utan också att man hade en ouppdaterad Microsoft SQL Server. Viruset utnyttjade nämligen ett säkerhetshål som upptäcktes för över ett halvår sen.

Analys av viruset:
http://www.techie.hopto.org/sqlworm.html

Beskrivning av säkerhetshålet:
http://www.nextgenss.com/advisories/mssql-udp.txt

Viruskoden:
http://www.digitaloffense.net/worms/mssql_udp_worm/disassembly.txt