Slammer, Sapphire, Helkern

Der Wurm, der bei verschiedenen Antivirus-Herstellern mit den Namen "Sapphire", "Slammer" oder "Helkern" versehen wurde, greift hauptsächlich Computer an...

... auf denen ein Microsoft SQL Server installiert ist,

... und deren MS SQL Server eine bestimmte Sicherheitslücke aufweist.

Etwas vereinfacht gesagt, geht der Slammer-Wurm so vor:

Er grast einen willkürlich gewählten Bereich IP-Adressen [1] ab. Findet er auf dem UDP-Port 1434 [2] einen Microsoft-SQL-Server, auf dem das seit langem verfügbare Update noch nicht installiert wurde, installiert er sich in dessen Arbeitsspeicher, worauf auch dieser Server infiziert ist. Daraufhin beginnt der frisch infizierte Server seinerseits, auf dem gleichen Weg weitere angreifbare SQL-Server zu suchen.

Dieses "Abgrasen" oder "Scannen" der IP-Adressen verursacht eine erhebliche Menge an Internet-Verkehr. Je mehr Systeme infiziert bzw. mit diesem Scanning beschäftigt sind, desto mehr Verkehr und Wartezeit entsteht auch für die nicht befallenen Systeme.

Privat-Benutzer haben von diesem Wurm überhaupt nichts zu befürchten, denn der Slammer-Wurm verbreitet sich nicht per Mail und auch nicht über normale Webseiten, Messenger-Dienste oder Netzwerkfreigaben.

Dennoch haben zumindest am Samstag, dem 25. Januar 2003 viele Tausend Web-Surferinnen und -Surfer die Auswirkungen des Wurms bemerkt, denn an diesem Tag fand der grösste Ausbruch dieses Wurms statt. Durch den erheblichen Internet-Verkehr waren an diesem Tag einige Webseiten oder sogar ganze Länder (z.B. Südkorea) nicht mehr per Internet erreichbar.

Gemäss den Antivirus-Experten von F-Secure [3] reicht es, infizierte Microsoft SQL Server neu zu starten, das notwendige Update [4] einzuspielen und falls möglich den UDP Port 1434 in der Firewall zu sperren.