Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Archiv

Archiv: Wurm 'SQLSlammer' und das Internet lahmt :(

Windows 7 Hierhin wurden aus technischen Gründen ca. 1000 Threads des Trojaner-Info Forums verschoben. Die Suche funktioniert hier nicht, und es können nur Modis und Admins posten. Um durch die alten Beiträge zu browsen, bitte auf "Alle Themen anzeigen"

 
Alt 26.01.2003, 09:52   #1
MyThinkTank
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Ausrufezeichen

Wurm 'SQLSlammer' und das Internet lahmt :(



Hi!
Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung:

""SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic

Ein neuer Wurm namens SQLSlammer sorgt seit vergangener Nacht weltweit für massives Traffic-Aufkommen.

Internet Security Systems hat AlertCon 4 ("Katastrophale Bedrohung") ausgerufen -- eine höhere als seinerzeit bei Code Red oder Nimda. Bereits in der vergangenen Nacht hat SQLSlammer laut ISS rund 160.000 Rechner infiziert. Der Wurm verbreitet sich so schnell, weil er im Unterschied zu Nimda oder Code Red sehr klein ist (376 Byte) und sich so innerhalb eines einzigen UDP-Pakets verschicken kann.

SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. Für diese Anfälligkeit des Microsoft SQL Server 2000 gibt es seit dem 24. Juli vergangenen Jahres einen Patch, der aber offensichtlich auf vielen Rechnern noch nicht eingespielt wurde.

Nachdem der Wurm die Kontrolle über den Rechner erlangt hat, startet er einen Prozess namens WS2_32.DLL und versucht fortan zufällig ausgewählte IP-Adressen über den UDP-Port 1434 in einer endlosen Schleife zu infizieren. Der Schädling residiert dabei nur im Arbeitsspeicher, legt also keine Dateien auf der Festplatte an. Da er die volle Netzbandbreite der Computer verwendet, um sich weiter zu verbreiten, entsteht ein massives Aufkommen an Traffic.

Toralv Dirro vom Antiviren-Unternehmen Network Associates sieht den Schädling als einen der gefährlichsten Würmer an, der sich je im Internet verbreitete. "SQLSlammer hat sich so schnell wie noch kein anderer Wurm verbreitet. Wir beobachten seit gestern weltweit massive Beeinträchtigungen im Netz; so sind bereits mehrere Voice-over-IP-Dienste wegen des erhöhten Traffic ausgefallen." Wegen der schnellen Verbreitung können AV-Unternehmen momentan auch immer noch nicht sagen, von wo der Schädling sich ursprünglich ausbreitete.

Network Associates will in Kürze ein Stand-Alone-Tool zur Verfügung stellen, das SQLSlammer aus dem Speicher entfernt. Unternehmen und Anwender, die den Microsoft SQL-Server 2000 oder die Microsoft Desktop Engine 2000 installiert haben, sollten dringend überprüfen, ob der oben erwähnte Patch aus dem Microsoft Security Bulletin MS02-39 eingespielt ist. (pab/c't)""

Link: http://www.heise.de/newsticker/data/pab-25.01.03-000/

Gruß!
MyThinkTank (heise.de macht schlau )
__________________
MTT says: "Privacy is a human right!" SAVE Privacy (PDF, 550 KB)

Alt 26.01.2003, 10:07   #2
I_wanna_know
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Pfeil

Wurm 'SQLSlammer' und das Internet lahmt :(



Tja, da bin mal von AVK gespannt, ob es die versprochenen "Emergency Updates" geben wird.
__________________


Alt 26.01.2003, 10:36   #3
CyberFred
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet. Meine Frage ist jetzt, was ich bei meiner TinyPersonalFirewall 2 unter "remote Endpoint" auswählen muss?
Address Type:
- any address
- single address
- Network/Mask
- Network/Range
- Custom Address Group
Port Type:
- Single Port
- Any Port
- Prot/Range
- List of ports

Was ist da nun richtig?

ciao, Cyber

[ 26. Januar 2003, 11:37: Beitrag editiert von: CyberFred ]
__________________
__________________

Alt 26.01.2003, 12:33   #4
piet
Gast
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



Hi,

</font><blockquote>Zitat:</font><hr />
Block incoming UDP 1434 at your firewall.
</font>[/QUOTE]Über welchen Port er vom infizierten System kommuniziert weiß ich nicht. Da sind aber über den "well known Ports" (0 - 1023) eine ganze Reihe möglich. Und IP's einzutragen ist sinnlos, klar...oder? Also Any bei beiden.

Diese Regel sollte reichen s.u.. Wenn es Dir dann besser geht. Denn nur die ungepatchten M$-Server sollten imo betroffen sein.

</font><blockquote>Zitat:</font><hr />SQLSlammer verbreitet sich, indem er ein speziell präpariertes UDP-Paket auf Port 1434 versendet. Dies bewirkt bei ungepatchten Microsoft SQL-Servern einen Buffer Overflow und resultiert in der Infizierung des Rechners. </font>[/QUOTE]

piet

Alt 26.01.2003, 12:34   #5
IRON
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



Ihr habt aber schon gelesen, dass herkömmliche Systeme nicht betroffen sind, oder?


Alt 26.01.2003, 12:59   #6
snooby
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



@ IRON:
Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!
gleich wie code-red!

grüsse,
Mario
__________________
--> Wurm 'SQLSlammer' und das Internet lahmt :(

Alt 26.01.2003, 13:26   #7
cruz
Administrator, a.D.
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:
Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!</font>[/QUOTE]und ich dachte es sei ein M$-sql-server wurm...

.cruz
__________________
"Ihre Meinung ist mir zwar widerlich, aber ich werde mich dafür totschlagen lassen, daß sie sie sagen dürfen."<br /><i>Voltaire</i>

Alt 26.01.2003, 14:10   #8
forge77
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr /> Tja, da bin mal von AVK gespannt, ob es die versprochenen "Emergency Updates" geben wird. </font>[/QUOTE]Wird es nicht geben, weil der Wurm nur im Arbeitsspeicher existiert und nicht auf einem Datenträger. Somit ist ein "normaler" AV-Scanner machtlos. Ein Reboot dagegen reinigt das System.

</font><blockquote>Zitat:</font><hr /> Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet. </font>[/QUOTE]Eine solche Regel ist ziemlich sinnlos, wenn man keinen SQL-Server laufen hat. In dem Fall kann dir doch sowieso nix passieren - ob mit oder ohne Firewall. [img]smile.gif[/img]
__________________
"<a href="http://return.to/scheinsicherheit" target="_blank">Scheinsicherheit</a>" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

Alt 26.01.2003, 14:22   #9
IRON
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Icon22

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr />Original erstellt von snooby:
@ IRON:
Ist ein IIS-Worm, daher nicht für herkömmliche maschinen!gleich wie code-red!
</font>[/QUOTE]snooby, snooby...LIES DOCH BITTE MAL MEINE FRAGE.

Und schlag mal im Duden unter Rhetorisch nach. [img]graemlins/aplaus.gif[/img]

Alt 26.01.2003, 14:35   #10
BEASTIEPENDENT
Kölsch-Pumpe
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr />Original erstellt von MyThinkTank:
Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung...</font>[/QUOTE]Oooch, die gabs gestern um die Zeit auch schon

</font><blockquote>Zitat:</font><hr />Original erstellt von CyberFred:
Ich habe jetzt noch bei McAfee gelesen, dass man bei seiner Firewall eine Regel erstellen soll, die UDP mit Port 1434 unterbindet.</font>[/QUOTE]Welchen mySQL-Server hast Du denn laufen?

Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!
__________________
Greetz, BEASTIE (der Exil-Kölsche)
Aircooled BUGS bite!!! ---To Live Is to Risk---1984 kommt: notcpa.org againsttcpa.com

Alt 26.01.2003, 15:06   #11
CyberFred
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT:
Welchen mySQL-Server hast Du denn laufen?

Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!
</font>[/QUOTE]Wenn ich dir jetzt noch sage, dass ich sogar angefangen habe mir das SP3 dafür zu ziehen... [img]graemlins/headbang.gif[/img] [img]graemlins/headbang.gif[/img]

ciao, Cyber [img]graemlins/aplaus.gif[/img] [img]graemlins/heilig.gif[/img]
__________________
Mail-Header verstehen
~~~~~~~~~~~~~~
Gutta cavat lapidem, non vi, sed saepe cadendo. (Ovid)

Alt 26.01.2003, 15:29   #12
Yopie
Moderator, a.D.
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr />Original erstellt von BEASTIEPENDENT:
Welchen mySQL-Server hast Du denn laufen?

Wie IRON schon sagte: Das Teil läuft NUR auf mySQL-Servern! Sowas hat wirklich KEIN normaler User zuhause laufen!!!
</font>[/QUOTE]Nope. Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid.

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

Alt 26.01.2003, 15:31   #13
Kistbier
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



@beastie:

mySQL != Microsoft

MS SQL == Microsoft
__________________
Wir sind Borg. Widerstand ist Spannung durch Stromstärke.

Alt 26.01.2003, 15:57   #14
Cassandra
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



</font><blockquote>Zitat:</font><hr />Original erstellt von Yopie:
Nicht mySQL-, sondern Microsoft SQL-Server sind betroffen. Ein kleiner, aber nicht unbedeutender Unterscheid. </font>[/QUOTE]Und nicht wirklich überraschend, oder?

Gruß,
Cassandra
__________________
The only secure computer is one that's unplugged, locked in a safe and buried 20 feet under the ground in a secret location... and i'm not even too sure about that one.." Dennis Huges, FBI

Alt 26.01.2003, 16:36   #15
Yopie
Moderator, a.D.
 
Wurm 'SQLSlammer' und das Internet lahmt :( - Beitrag

Wurm 'SQLSlammer' und das Internet lahmt :(



@Cassandra

Nicht wirklich!

Der/die/das - &gt; The Patch gegen die Sicherheitslücke existiert allerdings schon länger, Admins wurden gebeten, dieses 'immediately' zu installieren.
Wenn Otto-Normal-User sich nicht um Sicherheitspatches von Microsoft kümmert, kann ich das irgendwie noch verstehen. Aber Leute, die einen Server betreiben, sollten sicherheitsrelevante Patches wirklich ernst nehmen. Von daher gebe ich MS diesmal nur 30% der Schuld an diesem Schlamassel.

Inwieweit haften Admins einklich bei ungepatchten Systemen?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

 

Themen zu Wurm 'SQLSlammer' und das Internet lahmt :(
.dll, code, computer, dateien, desktop, diverse, dringend, festplatte, infiziert., installiert, internet, ip-adresse, keine dateien, mehrere, microsoft, microsoft security, network, neuer, nicht, port, prozess, rechner, schnell, schnellen, schädling, security, startet, verschicken, wurm, würmer, zufällig



Ähnliche Themen: Wurm 'SQLSlammer' und das Internet lahmt :(


  1. Internet lahmt (Win 7)
    Alles rund um Windows - 20.08.2015 (32)
  2. Internet lahmt gewaltig
    Plagegeister aller Art und deren Bekämpfung - 10.12.2012 (1)
  3. PC Lahmt Internet
    Log-Analyse und Auswertung - 16.07.2012 (10)
  4. Internet lahmt und Zugriffsverweigerungen
    Plagegeister aller Art und deren Bekämpfung - 11.05.2011 (5)
  5. Internet lahmt mit 25% Leistung
    Mülltonne - 13.12.2008 (2)
  6. Notebook lahmt, Programme, Internet und Umschalten lahmt
    Log-Analyse und Auswertung - 08.09.2008 (6)
  7. Internet lahmt
    Plagegeister aller Art und deren Bekämpfung - 10.07.2008 (17)
  8. Bitdefender Internet Security 2008 lahmt!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 22.06.2008 (8)
  9. G Data meldet Win32:SQLSlammer
    Log-Analyse und Auswertung - 14.05.2008 (2)
  10. Internet lahmt... Trojaner??
    Log-Analyse und Auswertung - 15.12.2007 (1)
  11. Internet Lahmt!?
    Alles rund um Windows - 10.10.2007 (2)
  12. Internet lahmt total 4000er DSL=30kb/s
    Log-Analyse und Auswertung - 10.10.2007 (2)
  13. Mein Internet lahmt plötzlich
    Log-Analyse und Auswertung - 23.07.2007 (3)
  14. Helft mir bei dem Bericht! Internet Lahmt!
    Log-Analyse und Auswertung - 30.05.2005 (6)
  15. Mein Internet lahmt
    Log-Analyse und Auswertung - 15.03.2005 (2)
  16. Mein Internet lahmt auch !!!
    Log-Analyse und Auswertung - 16.10.2004 (2)
  17. Verbraucher wollen Microsoft wegen SQLSlammer verklagen
    Plagegeister aller Art und deren Bekämpfung - 03.02.2003 (2)

Zum Thema Wurm 'SQLSlammer' und das Internet lahmt :( - Hi! Für die diversen Beschwerden über das lahme Internet, die sich gestern hier (und fast überall) angesammelt haben, gibt es jetzt die Erklärung: ""SQLSlammer -- winziger Wurm erzeugt riesigen Internet-Traffic - Wurm 'SQLSlammer' und das Internet lahmt :(...
Archiv
Du betrachtest: Wurm 'SQLSlammer' und das Internet lahmt :( auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.