SQLSlammer un virus qui cible uniquement les serveurs Microsoft SQL Server 2000. Il se présente sous la forme d'un paquet de données de 376 octets à destination du port 1434 UDP. Si le serveur n'est pas à jour dans ses correctifs, le ver l'infecte puis scanne abondament le réseau à la recherche de nouveaux serveurs vulnérables, d'où une forte consommation de bande passante et un accès difficile voire impossible à certains sites web.

TYPE :

Ver  

SYSTEME(S) CONCERNE(S) :

Microsoft SQL Server 2000

Microsoft Desktop Engine 2000

ALIAS :

Sapphire (F-Secure)

Worm.SQL.Helkern (Kaspersky)

W32/SQLSlammer.worm (Mc Afee)

W32/SQLSlam-A (Sophos)  
W32.SQLExp.Worm (Symantec)  
WORM_SQLP1434.A (Trend Micro)  

TAILLE :

376 octets

DECOUVERTE :

25/01/2003

DESCRIPTION DETAILLEE :

Le ver SQLSlammer exploite une faille de type buffer overflow déjà ancienne pour infecter les serveurs non à jour dans leurs correctifs via une requête malformée. Il est présent uniquement en mémoire, n'est pas destructif et ne peut pas infecter le poste de travail d'un simple utilisateur.

...

Un virus informatique de type ver particulièrement véloce s'est infiltré, samedi 25 janvier, dans les réseaux internet à travers le monde, entraînant globalement un ralentissement du trafic, la Corée du Sud étant particulièrement touchée.  
Au "Pays des matins calmes" où plus de 70 % des foyers sont connectés, les services en ligne ont été paralysés, ce qui n'était jamais arrivé à cette échelle sur les réseaux à haut débit ou mobiles du pays.

Les Etats-Unis, le Japon et l'Europe ont aussi été touchés mais dans une moindre mesure : seuls des ralentissements de trafic ont été constatés.

Pour le responsable de la recherche anti-virus à F-Secure, une société de sécurité informatique basée en Finlande, le virus, baptisé "Sapphire" ("Saphir") ou encore "SQL Slammer" contient un mécanisme d'auto-réplication qui lui permet de se multiplier rapidement via internet. Il n'atteint pas directement l'utilisateur de bout de ligne, l'internaute, mais entraîne un ralentissement du trafic, voire une paralysie totale des services en ligne, comme cela a été le cas en Corée du Sud.

Le virus a notamment touché l'ensemble des services de KT, le principal fournisseur d'accès internet (FAI) du pays, a déclaré un porte-parole de la société. Il a précisé que la panne avait duré plusieurs heures mais qu'un retour à la normale était en cours.

KT est utilisé par la grande majorité des principaux fournisseurs de service à haut débit, ce qui a fait que tous ont subi une même paralysie. Hanaro Telecom, deuxième fournisseur d'accès internet sud-coréen, et Thrunet, le troisième, ont également été touchés.

Si le phénomène a d'abord été constaté en Asie, souligne Graham Cluley, de la société britannique Sophos Anti-Virus, des cas de ralentissement de trafic ont également été signalés en Europe.

AOL, le premier fournisseur d'accès internet au monde avec 35 millions d'abonnés, semble en revanche avoir été épargné. Un porte-parole de la filiale internet d'AOL Time Warner a expliqué que le virus n'avait pas eu d'impact sur leurs services.

Le phénomène enclenché par "Saphir" est comparé au bug "Code Rouge" qui, en juillet 2001, avait entraîné un ralentissement important du trafic au niveau mondial. Dans le cas présent, le virus infecte des serveurs tournant sous Windows 2000 SQL. Microsoft propose un correctif logiciel sur son site www.microsoft.com.

En Corée du Sud, où une enquête de police a été ouverte, les autorités sont persuadés que des pirates informatiques sont à l'origine de ce virus. Selon l'expert de F-Secure, il a sans doute été installé sur un serveur défectueux par un "hacker" il y a quelques jours.

Le ou les responsables du "Code Rouge" n'ont jamais été retrouvés.