In den vergangenen Tagen hat der "SQL Slammer"-Wurm (alias W32.SQLExp.Worm oder auch Sapphire) rund um den Globus sein Unwesen getrieben und viele Server und Datenleitungen überlastet. Josef Pichlmayr, Chef des österreichischen Antiviren-Spezialisten Ikarus , berichtete jedoch, dass in Österreich relativ wenig Probleme aufgetreten seien. Die genaue Ursache dafür kennt auch Pichlmayr nicht, er vermutet ein Zusammenspiel mehrerer Faktoren.

Im pazifischen Raum und in Nordamerika

Der Wurm hat laut Ikarus vor allem im pazifischen Raum und in Nordamerika gewütet, wo von Geldausgabeautomaten bis hin zu für den Betrieb von Fluglinien notwendigen Systemen verschiedene Arten von Einrichtungen betroffen waren – soweit sie den Microsoft SQL Server 2000 oder die Microsoft Desktop Engine (MSDE) 2000 nutzten. Diese Software kann dann ein Opfer des SQL-Slammer werden, wenn ein schon länger bekanntes Sicherheitsloch nicht gestopft ist. Selbst eine Reihe von Microsoft-eigenen Servern ist von dem nur 376 Byte großen Wurm infiziert worden, wodurch der weitere Download des kritischen Updates unmöglich gemacht wurde.

Mehrere Faktoren

Aus Österreich seien vor allem Infektionen semiprofessioneller Systeme von Breitbandusern in Kabelnetzen bekannt, so Pichlmayr. Für die relativ geringe Ausbreitung in Österreich nennt der Experte mehrere mögliche Ursachen: "Einerseits könnten weniger SQL-Server von Microsoft verwendet werden als anderswo – das glaube ich aber nicht. Andererseits sind die Systemadministratoren vielleicht mehr auf der Hut und haben den schon seit Monaten verfügbaren Patch eingespielt. Wahrscheinlich sind aber einfach die Firewalls besser konfiguriert, lassen den Port 1434 nicht einfach so offen und verhindern, dass ein Prozess die gesamte verfügbare Bandbreite nutzt."

SQL-Slammer: Klein aber gemein

Aufgrund seiner geringen Größe kann sich der SQL-Slammer in einem einzigen UDP-Datenpaket verschicken und dringt über die Ports 1433 und 1434 in MS SQL Server ein. Dort verursacht er einen Buffer-Overflow und kann danach mit System-Privilegien agieren. Theoretisch könnte man so großen Schaden in den befallenen Systemen anrichten oder beispielsweise Backdoors für spätere illegale Aktivitäten einrichten. Auf solche Routinen haben die unbekannten Programmierer jedoch bewusst verzichtet. Stattdessen versucht sich der kleine Schädling sofort in weitere Systeme zu verbreiten, indem entsprechende UDP-Datenpakete an beliebige IP-Adressen verschickt werden. Dabei versucht er, möglichst die gesamte Bandbreite der Datenleitungen auszunutzen, was zur Nicht-Erreichbarkeit befallener Systeme führt. Da sich der Wurm lediglich im Arbeitsspeicher breit macht, aber keine Dateien auf die Festplatte schreibt, wird er von vielen Virenschutzprogrammen nicht erkannt. Allerdings kann er so auch durch einen einfachen Neustart aus infizierten Systemen entfernt werden. Danach ist natürlich das Einspielen des Patches anzuraten.

Geheimdienst?

Da die Attacken in den befallenen Systemen keine bleibenden Schäden anrichten, geht im Internet auch schon das Gerücht um, der Wurm könnte von einem westlichen Geheimdienst entwickelt und freigesetzt worden sein, um Computerusern die Wichtigkeit sicherer Konfigurationen vor Augen zu führen.(pte)