SQL Slammer żyje i ma się dobrze

Jak poinformował CERT - jutro mija rok od ataku groźnego robaka SQL Slammer. Wykorzystując lukę w Microsoft SQL Server, w ciągu 10 minut przeszukał 90% przestrzeni adresowej Internetu, infekując kilkaset tysięcy podatnych komputerów. Mogłoby się wydawać, że robak został już z sieci dawno usunięty, tymczasem robak żyje, również w Polsce.

Kiedy 1 stycznia 2004 nastąpiło wygaśnięcie aktywności robaka Nachi/Welchia, SQL Slammer ponownie stał się najbardziej powszechnym robakiem skanującym w Internecie.

Obecnie, w ciągu godziny obserwujemy od 200 do 300 różnych instancji robaka. Dla porównania, w tym samym czasie obserwujemy około 80 instancji robaka Blaster i jego mutacji. Szczyt aktywności zazwyczaj następuje we wtorki i środy, prawdopodobnie dlatego, że w tym czasie do sieci podpiętych jest najwięcej komputerów.

Od początku 2004 roku, zaobserwowaliśmy ponad 60 tysięcy różnych źródłowych IP odpytujących port 1434/UDP (na tym porcie propaguje się robak). Należy jednak pamiętać, że dane mogą być zawyżone, gdyż w wielu przypadkach zainfekowane komputery mają dynamiczny przydział IP. Najwięcej zainfekowanych komputerów, ponad 45%, pochodzi z USA. Następne na liście - Wielka Brytania i Francja, mają już tylko 4.5% udział. Polska znajduje się na miejscu dwunastym, z 2% udziałem. Większość z zaobserwowanych przez nas zainfekowanych komputerów w Polsce pochodzi z AS5617 (TPNET), co plasuje ten AS na 5 miejscu na świecie.

Zobacz również: