27.01.2003

"Helkern": 376 байт, которые потрясли мир

"Лаборатория Касперского", российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового Интернет-червя "Helkern" (также известен под именем "Slammer"), заражающего серверы под управлением системы баз данных Microsoft SQL Server 2000. Небольшой размер червя (всего лишь 376 байт), уникальная технология заражения и исключительно высокая скорость распространения позволяют назвать "Helkern" одной из главных угроз нормальному функционированию Интернет за последние несколько лет. Уже сейчас поступают данные о перебоях в работе Всемирной сети из Южной Кореи, Австралии и Новой Зеландии.

На данный момент можно утверждать, что червь вызвал одну из крупнейших в истории глобальную эпидемию, которая затронула практически все страны мира: многочисленные сообщения о фактах заражения "Helkern" поступают из Европы, США, Азии, а также из России.

"Helkern" принадлежит к классу так называемых "бестелесных" червей: эти вредоносные программы осуществляют все операции (включая заражение и распространение) исключительно в системной памяти компьютера, что значительно затрудняет процесс их обнаружения и нейтрализации стандартными антивирусными средствами (сканерами). Первым представителем этого класса червей был "CodeRed", обнаруженный 20 июля 2001 г. и тогда же вызвавший крупномасштабную эпидемию. До сегодняшнего дня "бестелесные" черви более никак себя не проявляли.

"Helkern" заражает только компьютеры под управлением Microsoft SQL Server 2000. Это ПО является многофункциональной системой управления базами данных, которая широко используется в том числе и на Web-серверах. Для домашних пользователей, которые самостоятельно не устанавливали Microsoft SQL Server "Helkern" не представляет опасности.

Червь незаметно проникает на компьютеры через брешь класса "переполнение буфера" (Buffer Overrun) в системе безопасности Microsoft SQL Server. Для этого на целевой компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя.

После этого "Helkern" начинает процедуру дальнейшего распространения по сети Интернет. Этот процесс отличается исключительно высокой скоростью рассылки копий червя: "Helkern" запускает бесконечный цикл распространения, и, таким образом, многократно повышает сетевой трафик.

'Всего лишь за несколько часов эпидемии нами зарегистрировано более 20 тысяч попыток "Helkern" проникнуть в нашу сеть, - говорит Игорь Митюрин, начальник отдела информационной безопасности "Русславбанка", - Правда все эти попытки были успешно отражены благодаря реализации эффективной политики безопасности, которая подразумевает своевременную установку патчей для всего ПО, используемого в нашей корпоративной сети'.

Сегодня MS SQL Server является одной из самых популярных баз данных, которая используется на сотнях тысяч компьютеров по всему миру. События показывают, что на большинстве из них до сих пор не установлены обновления системы защиты.

'"Helkern" - это реальная угроза, которая способна вызвать серьезные сбои в работе Интернет. Более того, мы склонны считать, что в будущем подобные атаки будут происходить с нарастающей частотой. Это еще раз доказывает необходимость разработки новых подходов к предупреждению и выявлению вирусных эпидемий в Интернет, поскольку существующие технологии наглядно доказывают свою низкую эффективность', - сказал Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского".

Помимо создания большого объема избыточного сетевого трафика "Helkern" не имеет других побочных действий, в том числе деструктивных. Несмотря на это мы рекомендуем пользователям немедленно установить обновление для системы безопасности Microsoft SQL Server, которое доступно для загрузки по адресу:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

Источник: KASPERSKY.RU