Worm Win32/SQL.Slammer
O worm se espalha somente
em computadores "rodando" servidores Microsoft SQL sem o "patch"
de correção. Ele não armazena dados no disco do computador, nem altera nenhum
arquivo lá. Um sistema é atacado por um pacote UDP de 376 bytes de tamanho,
recebido pela porta 1434 a qual é utilizada pelo servidor SQL. O pacote explora
um "buffer overflow" para sua ativação. O worm em um sistema infectado
permanece constantemente enviando seu corpo para um endereço IP gerado aleatóriamente
através da porta UDP 1434. Como resultado um grande aumento do tráfego da rede
poderá ser observado. O worm não tem nenhum outro efeito destrutivo.
Descrição detalhada da vulnerabilidade explorada,
pode ser encontrada em:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp.
A desinfecção de um sistema infectado poderá ser realizada
através da reinicialização do computador após a
instalação do service pack (SP3) disponível em:
http://www.microsoft.com/sql/downloads/2000/sp3.asp. O patch pode também,
ser encontrado em: http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602.