GUSANO

Slammer

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Sapphire

El 25 de enero de 2003 se iniciaba desde Hong Kong un ataque masivo de denegación de servicio (DoS) contra 5 de los 13 servidores raíz de Internet que provocó la sobrecarga de los sistemas y la ralentización del tráfico de red y afectó a cerca de 200.000 servidores repartidos por todo el mundo.

Al parecer un nuevo gusano de origen asiático y denominado Slammer, alias Sapphire, fue el origen de esta gran ofensiva contra Internet que tuvo como principal objetivo sistemas Microsoft SQL Server 2000 o Microsoft Data Engine 2000 afectados por una conocida vulnerabilidad desde julio 2002 por lo que los usuarios profesionales son más susceptibles a ataques frente a los usuarios finales, quienes pueden advertir únicamente una demora en la respuesta de sus peticiones a través de la Red. No obstante conviene no bajar la guardia, ya que algunas de las siguientes aplicaciones (entre otras) podrían instalar de manera silenciosa en nuestros equipos los referidos programas de Microsoft:

Microsoft Biztalk Server
Microsoft Visual Studio.NET
Microsoft .NET Framework SDK
Microsoft Visio 2000
Microsoft Office XP Developer Edition
Microsoft Visual FoxPro
Microsoft Project
Compaq Insight Manager
Dell OpenManage
HP Openview Internet Services Monitor
Websense
Veritas Backup Exec
WebBoard
Crystal Reports Enterprise
McAfee Centralized Virus Admin
McAfee Epolicy Orchestrator

El nuevo gusano no se difunde a través de correo electrónico ni se instala en los equipos atacados o contiene rutinas peligrosas, tan sólo permanece en memoria a la búsqueda de nuevos servidores vulnerables desde los que lanzar ataques DoS, una característica que nos recuerda al famoso Code Red aparecido en julio de 2001.

Slammer se envía en un paquete escrito en lenguaje ensamblador de 376 bytes al puerto 1434 UDP (SQL Server Resolution Service Port). Para ello, abre un puerto netbios. Al mismo tiempo, utiliza la función GetTickCount () del Win32 API para generar direcciones IP a las que enviar dicho paquete. Estas direcciones, a su vez, las envían al puerto UDP 1434. Debido a este proceso continuo y los múltiples envíos se llega a generar un ataque de tipo DoS (Denegación de Servicio) sobre dicho puerto.

En este caso, lo recomendable es cerrar el acceso al puerto 1434 salvo que sea totalmente necesario su uso, en cuyo caso, la eliminación de Slammer pasa por reiniciar el equipo para liberar la presencia del gusano en memoria y, a continuación, instalar el parche correspondiente que solventa la vulnerabilidad en el software de Microsoft (disponible desde el site http://www.microsoft.com/technet/security/bulletin/MS02-039.asp) ya que de lo contrario, la máquina puede quedar expuesta a nuevas infecciones.

Por otra parte, debido a las características de Slammer, este código puede pasar desapercibido para muchos anti-virus por lo que es necesario activar nuestras soluciones en modo residente con el fin de detectar cualquier presencia no grata en la memoria del sistema.


Copyright © VIRUSPROT.COM