OFF ЗАО "ДиалогНаука" во какую гадость прислали
A
14:26, 27.01.2003
Win32.SQL.Slammer.376 или второе пришествие CodeRеd
Приблизительно в 8 часов утра по московскому времени 25 января
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" получила
информацию о серьезных проблемах на ряде крупных серверов в Республике Корея.
Многие из них просто перестали реагировать на запросы.
Затем аналогичные сигналы стали поступать со всего
мира. В считанные часы серверный мир был поставлен на колени 376 байтами
вирусного кода. Под угрозой оказались самые разнообразные
интернет-транзакции, особенно пострадала интернет-торговля.
Win32.SQL.Slammer.376 - интернет-червь (по классификации других
антивирусных вендоров WORM_SQLP1434.A, SQLP1434.A, W32/SQLSlammer,
W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A, SQL Slammer Worm,
DDOS.SQLP1434.A, W32/SQLSlammer) является вторым "бестелесным вирусом"
после печально прославившегося Win32.CodeRed.3569. Он не существует в виде
файла на зараженном компьютере, не распространяется в виде файла по сети.
На пораженном компьютере червь проникает в контекст процесса Microsoft SQL
и запускает в нем свой код - бесконечный цикл, генерирующий с высокой
скоростью большой сетевой трафик в силу того, что червь пытается атаковать
случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со
своим телом. Из-за специфических особенностей червя, обнаружение и лечение
вируса обычными методами невозможно. Антивирусные программы, проверяющие на
наличие вирусов только файлы и операции с файлами, не способны его
обнаружить, поскольку этот червь существует только в виде с етевых пакетов
и программного кода в памяти компьютера. Объектом нападения червя являются
сервера Microsoft SQL Server 2000. Для попадания в систему червь использует
дыру в системе безопасности этих серверов
(http://www.microsoft.com/technet/treeview/default....,
а именно переполнение буфера, воспользовавшись которым нападающая сторона
может получить контроль над пораженной системой в контексте прав, с
которыми запущен Microsoft SQL Server. Червь отсылает 376 байт своего кода
в виде пакетов длиной 384 байта на порт 1434/udp, что приводит к
существенному замедлению в его работе, а затем и к полному отказу. Во
избежание заражения данным вирусом ЗАО "ДиалогНаука" настоятельно
рекомендует блокировать порт UDP/1434 для доступа извне и установить на
сервер Microsoft SQL 2000 service pack 3, последний патч к которому был
выпущен компанией 17 января 2003 года. Антивирусный сканер Dr.Web -
единственный российский антивирус, способный обнаружить данный вирус в
памяти компьютера. Если сканер настроен на автоматическую проверку памяти
при своем старте (настройка "по умолчанию"), то он обнаружит и обезвредит
Win32.SQL.Slammer.376, остановив зараженный процесс Microsoft SQL server.
Приблизительно в 8 часов утра по московскому времени 25 января
Служба мониторинга вирусной активности ЗАО "ДиалогНаука" получила
информацию о серьезных проблемах на ряде крупных серверов в Республике Корея.
Многие из них просто перестали реагировать на запросы.
Затем аналогичные сигналы стали поступать со всего
мира. В считанные часы серверный мир был поставлен на колени 376 байтами
вирусного кода. Под угрозой оказались самые разнообразные
интернет-транзакции, особенно пострадала интернет-торговля.
Win32.SQL.Slammer.376 - интернет-червь (по классификации других
антивирусных вендоров WORM_SQLP1434.A, SQLP1434.A, W32/SQLSlammer,
W32.SQLExp.Worm, Worm.SQL.Helkern, DDOS_SQLP1434.A, SQL Slammer Worm,
DDOS.SQLP1434.A, W32/SQLSlammer) является вторым "бестелесным вирусом"
после печально прославившегося Win32.CodeRed.3569. Он не существует в виде
файла на зараженном компьютере, не распространяется в виде файла по сети.
На пораженном компьютере червь проникает в контекст процесса Microsoft SQL
и запускает в нем свой код - бесконечный цикл, генерирующий с высокой
скоростью большой сетевой трафик в силу того, что червь пытается атаковать
случайным образом сгенерированные IP-адреса, рассылая сетевые пакеты со
своим телом. Из-за специфических особенностей червя, обнаружение и лечение
вируса обычными методами невозможно. Антивирусные программы, проверяющие на
наличие вирусов только файлы и операции с файлами, не способны его
обнаружить, поскольку этот червь существует только в виде с етевых пакетов
и программного кода в памяти компьютера. Объектом нападения червя являются
сервера Microsoft SQL Server 2000. Для попадания в систему червь использует
дыру в системе безопасности этих серверов
(http://www.microsoft.com/technet/treeview/default....,
а именно переполнение буфера, воспользовавшись которым нападающая сторона
может получить контроль над пораженной системой в контексте прав, с
которыми запущен Microsoft SQL Server. Червь отсылает 376 байт своего кода
в виде пакетов длиной 384 байта на порт 1434/udp, что приводит к
существенному замедлению в его работе, а затем и к полному отказу. Во
избежание заражения данным вирусом ЗАО "ДиалогНаука" настоятельно
рекомендует блокировать порт UDP/1434 для доступа извне и установить на
сервер Microsoft SQL 2000 service pack 3, последний патч к которому был
выпущен компанией 17 января 2003 года. Антивирусный сканер Dr.Web -
единственный российский антивирус, способный обнаружить данный вирус в
памяти компьютера. Если сканер настроен на автоматическую проверку памяти
при своем старте (настройка "по умолчанию"), то он обнаружит и обезвредит
Win32.SQL.Slammer.376, остановив зараженный процесс Microsoft SQL server.
Д
Декодер 
14:45, 27.01.2003
ну и че? просто вовремя сервиспаки ставить надо а не пуп царапать
вирусенок использует старую дыру
а вообще не стоит использовать Microsoft SQL Server
нормальный сервер ставить надо
вирусенок использует старую дыру
а вообще не стоит использовать Microsoft SQL Server
нормальный сервер ставить надо
Д
Декодер
15:52, 27.01.2003
Informix, Postgres, Oracle
естественно под UNIX
а Microsoft SQL - это фантастика :-)
естественно под UNIX
а Microsoft SQL - это фантастика :-)
З
20:31, 27.01.2003
А если подумать от обратного???
Ясен пень, вирусописаки ориентируются на популярную вещь, а не на редко встречаемую экзотику.
Молоденьким максималистам предлагаю превентивно умерить пыл!
Oracle/UNIX никогда не будет на сервере нижнего уровня и, естественно, не получит степени распространения Microsoft SQL.
Ясен пень, вирусописаки ориентируются на популярную вещь, а не на редко встречаемую экзотику.
Молоденьким максималистам предлагаю превентивно умерить пыл!
Oracle/UNIX никогда не будет на сервере нижнего уровня и, естественно, не получит степени распространения Microsoft SQL.
R
Romariо 
21:26, 27.01.2003
хорошая реклама Dr.Weba, грамотный PR
:-)
:-)
08:19, 28.01.2003
Ну да, кому попсу, а кому - работать.
"За что я ненавижу Micro$oft - за выведение нового биологического вида "Админ, не читающий документацию""
(С) не мой.
"За что я ненавижу Micro$oft - за выведение нового биологического вида "Админ, не читающий документацию""
(С) не мой.
Д
Декодер
08:21, 28.01.2003
Задний ум
ты кого назвал молодым максималистом!
поакуратней в выражениях
ораклом можешь ты не быть ну, а вот Postgres знать обязан! ;-)
дело не в распостраненности, а втом что софт ворованый
на халяву как известно и уксус сладкий.
А вот ума изучить нормальную технологию причем бесплатную
не хватает
может лень?
ты кого назвал молодым максималистом!
поакуратней в выражениях
ораклом можешь ты не быть ну, а вот Postgres знать обязан! ;-)
дело не в распостраненности, а втом что софт ворованый
на халяву как известно и уксус сладкий.
А вот ума изучить нормальную технологию причем бесплатную
не хватает
может лень?
Х
08:56, 28.01.2003
Декодер
Оракл стал бесплатной технологией? Informix тоже?
А почему кучу ERP продуктов делают под MS SQL? видимо от недостатка ума, как Вы считаете? Если возможно, назовите что либо из ERP сделанных под Informix или Postgres.
"дело не в распостраненности, а втом что софт ворованый
на халяву как известно и уксус сладкий" - поясните как эта реплика относится к теме кривости или некривости MS SQL?
И еще раз вопрос, чем конкретно НЕНОРМАЛЕН MS SQL?
Оракл стал бесплатной технологией? Informix тоже?
А почему кучу ERP продуктов делают под MS SQL? видимо от недостатка ума, как Вы считаете? Если возможно, назовите что либо из ERP сделанных под Informix или Postgres.
"дело не в распостраненности, а втом что софт ворованый
на халяву как известно и уксус сладкий" - поясните как эта реплика относится к теме кривости или некривости MS SQL?
И еще раз вопрос, чем конкретно НЕНОРМАЛЕН MS SQL?
Д
Декодер
09:14, 28.01.2003
Хмм.
по поводу бесплатности имелся в виду Postgres
Oracle имеет бесплатную версию , прада без наворотов
делают продукты под MS почему?
да потому что его можно купить на любом углу за 60-70 ре
потому что по русски, потому что писать не эксплуатировать,
потому что писать может любая тетя Дуся как в ворде(басике).
а вот надежности при много потоковых запросах нужно поискать( к вопросу ненормальности)
насчет воровства -
солидные конторы(корпоративные) получившие MS оффициально получают обновления через рассылку MS
предупреждения о необходимости пропачивания того или другого модуля. Вот и в этом случае MS предупреждал об
этой дыре за ранее и предлагал установить патчик.
остальные(за 60-70р) просто не захатели следить за новостями на сайте вот и результат
а вообще это разговор не для этого форума
поэтому прекращаю баталию
по поводу бесплатности имелся в виду Postgres
Oracle имеет бесплатную версию , прада без наворотов
делают продукты под MS почему?
да потому что его можно купить на любом углу за 60-70 ре
потому что по русски, потому что писать не эксплуатировать,
потому что писать может любая тетя Дуся как в ворде(басике).
а вот надежности при много потоковых запросах нужно поискать( к вопросу ненормальности)
насчет воровства -
солидные конторы(корпоративные) получившие MS оффициально получают обновления через рассылку MS
предупреждения о необходимости пропачивания того или другого модуля. Вот и в этом случае MS предупреждал об
этой дыре за ранее и предлагал установить патчик.
остальные(за 60-70р) просто не захатели следить за новостями на сайте вот и результат
а вообще это разговор не для этого форума
поэтому прекращаю баталию
D
DragoNOIR 
09:23, 28.01.2003
Закрыто за ненадобностью...
Обсуждение этой темы закрыто модератором форума.