Червь Slammer

Червь Slammer: хроника крупнейшей вирусной атаки на интернет

27 января 2003 года, 11:09; текст: Иван Карташев

В прошедшие выходные интернет подвергся одной из самых крупных вирусных атак за всю историю. В результате активизации червя Slammer скорость работы Сети значительно замедлилась, а некоторые регионы, например, Южная Корея, оказались практически отрезанными от интернета.

Вирусная атака началась в 0:30 по времени Восточного побережья США или в 8:30 по московскому времени. Где находился источник заражения, до сих пор точно не известно. Некоторые специалисты по компьютерной безопасности предполагают, что вирус распространялся с территории США, другие же считают, что его родина находится где-то в Азии.

За считанные минуты червь, использующий уязвимость в СУБД Microsoft SQL Server 2000, наводнил интернет. Несмотря на малый размер вируса - всего 376 байт, он смог создать в каналах передачи данных настоящие пробки, поскольку после заражения компьютера он начинает рассылать свой код по случайным IP-адресам в бесконечном цикле. Если по какому-либо из адресов обнаруживался уязвимый компьютер, он заражался и тоже начинал рассылать копии вируса.

Все это привело к крупномасштабному росту трафика. На пике активности червя на один сервер могли приходить сотни запросов в минуту. Не выдержав возросшей нагрузки, некоторые серверы попросту падали. В это время только в США терялось до 20% IP-пакетов, что в десять раз превышает нормальный уровень. По имеющимся данным, от атаки пострадали и пять из тринадцати корневых DNS-серверов.

Наиболее сильно от атаки Slammer пострадала Южная Корея, где интернетом пользуются семь из каждых десяти жителей. Однако в субботу эта страна оказалась практически отключенной от глобальной Сети. В частности, под напором Slammer обрушилась сеть крупнейшего южнокорейского провайдера KT Corp. Серьезно пострадали также провайдеры Hanaro Telecom Inc. и Thrunet, занимающие, соответственно, второе и третье места на южнокорейском рынке сетевых услуг. Работоспособность была восстановлена уже к субботнему вечеру, однако скорость работы интернета еще долго оставалась низкой.

Отключение интернета в Южной Корее сказалось и на работе Сети во всем азиатском регионе - скорость работы интернета здесь была наименьшей. В Европе замедление также было серьезным, однако до южнокорейских масштабов катастрофа не дошла. Американские провайдеры интернета, в большинстве своем, стабильно работали во время атаки, хотя скорость передачи данных была значительно ниже обычной.

В течение субботы атака Slammer постепенно сошла на нет, однако эксперты по компьютерной безопасности опасаются, что вирус еще вернется. Субботняя атака нанесла значительно меньше ущерба, чем если бы она проводилась в разгар рабочей недели. Вполне вероятно, что субботняя эпидемия - всего лишь репетиция перед настоящей атакой на инфраструктуру Сети, от которой зависит бизнес множества компаний по всему миру.

Одной из причин катастрофических последствий атаки Slammer является невнимание системных администраторов к регулярному обновлению программного обеспечения. О дыре в MS SQL Server 2000 стало известно еще прошлым летом, а заплатка к ней содержится в выпущенном недавно Microsoft пакете обновлений Service Pack 3. Тем не менее, следуя известной поговорке о мужике и громе, за установку патчей администраторы взялись лишь после атаки Slammer. Однако удалось это немногим: сайт Microsoft, откуда только и можно было взять заплатку, оказался перегружен.

Другие новости на эту тему можно найти в разделах Безопасность Вирусы Вирус Slammer