•Notícia

Els experts recomanen instal·lar el pedaç específic o el Service Pack 3 per no infectar els servidors SQL. Tot i que no té cap càrrega destructiva, aquest cuc informàtic el seu sistema de propagació pot ocasionar un greu dany a la Xarxa, ja que pot deixar fora de servei molts llocs web i col·lapsar Internet.
L'Equip de Seguretat per a la Coordinació d'Emergències en Xarxes Telemàtiques de la Universitat Politècnica de Catalunya (esCERT-UPC) recomana un conjunt de mesures per evitar l'atac del cuc informàtic SQL Slammer. Aquest cuc de ràpids moviments, que des de dissabte passat està ocasionant un atac distribuït de denegació de servei a la Xarxa, infecta tots els servidors de Microsoft que no estiguin actualitzats i els deixa fora de servei.
En la seva propagació, el cuc utilitza el port 1434 UDP (SQL Server Resolution Service). Els sistemes infectats enviaran paquets maliciosos a altres màquines amb SQL Server causant la ralentització i fins i tot la caiguda de la xarxa afectada.Segons ha pogut saber l'esCERT-UPC, aquest cuc està causant greus problemes a la Xarxa, ja que cada màquina infectada pot arribar a generar un trànsit de 50 megabytes per segon. A la UPC, dissabte passat es va iniciar un atac a les 6:33 h, i es van anar produint deu atacs per segon, fins aconseguir col·lapsar totes les xarxes de la Universitat.
Per evitar l'acció d'aquest cuc l'esCERT-UPC recomana bloquejar el port 1434 UDP i descarregar i instal·lar el pedaç per a Microsoft SQL Server http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
El cuc aprofita aquestes vulnerabilitats de desbordament de búfer existent a SQL que van ser publicades i corregides amb el seu pedaç corresponent per Microsoft el juliol de 2002.
L'esCERT-UPC coneix casos d'empreses i entitats espanyoles que han bloquejat aquest port per evitar una infecció massiva. Els servidors SQL que no hagin instal·lat el pedaç específic o el Service Pack 3 s'infectaran en rebre el paquet UDP de 376 bytes (longitud del cuc).
Quan Slammer arriba a un sistema realitza les següents accions: obre un port aleatori del sistema per reenviar el paquet que conté el cuc a adreces aleatòries; per propagar-se fa servir una funció API de Windows (GetTickCount), que genera adreces IP a les quals envia el paquet que conté Slammer; aquestes adreces generades, alhora, són utilitzades com a destí del cuc.
Durant la infecció el cuc només es manté actiu en memòria i no es copia en cap arxiu, la qual cosa dificultarà la detecció dels antivirus.
Tot i que aquest cuc no té cap càrrega destructiva, el seu sistema de propagació pot ocasionar un greu dany a la Xarxa, ja que provoca atacs massius de denegació de serveis, deixant així fora de servei molts llocs web i col·lapsant Internet.
Els símptomes visibles de Slammer són l'augment de trànsit pel port 1434 UDP i la ralentització i fins i tot el bloqueig del servidor infectat.

Sistemes compromesos
Aquest cuc no compromet directament a l'usuari final ja que no infecta al PC i només infecta a servidors SQL amb sistema operatiu Windows 2000 (Microsoft SQL Server 2000 i Microsoft SQL Server Desktop Engine (MSDE). Com que el MSDE també s'utilitza a Visual Studio.NET i Office XP Developer Edition, el cuc podria propagar-se més enllà dels servidors SQL.

Recomanacions de l'esCERT-UPC
L'esCERT-UPC recomana com a primera solució la instal·lació de l'últim pedaç acumulatiu per a SQL que es troba a l'adreça: http://www.microsoft.com/technet/security/bulletin/MS02-061.asp
Es pot instal·lar també el SQL 2000 Service Pack 3: http://www.microsoft.com/sql/downloads/2000/sp3.asp, tot i que el departament tècnic d'esCERT-UPC aconsella la primera solució en haver-se detectat alguns problemes en la instal·lació d'aquest Service Pack.
- Reiniciar l'equip perquè l'actualització sigui efectiva
- En cas de no poder aplicar el pedaç, s'aconsella bloquejar el trànsit en el port UDP 1434 o bé en el firewell, o, en el seu defecte, en els servidors SQL que es troben en servei.