Un nuevo gusano ataca a la Red este fin de semana
Su nombre es Zafiro o SQL Slammer y ha conseguido ralentizar e incluso, como ha ocurrido en Corea del Sur, imposibilitar el acceso a la Red. Los expertos le han calificado como uno de los virus más peligrosos de los últimos dieciocho meses, aunque no ha llega a suscitar la alarma que en su día provocó Code Red.
El nuevo gusano, que como sus antecesores Code Red, Nimda o IloveYou provoca una denegación de servicio, ataca una vulnerabilidad conocida de los servidores con SQL Server de Microsoft, y cuyo parche fue publicado por la compañía desde que se descubrió en julio del pasado año. Sin embargo, el hecho de que se conociese la vulnerabilidad no ha evitado que se produzca un ataque masivo provocando una ralentización del acceso en la Red en todo el mundo que ha afectado a alrededor de 150.000 y 200.000 servidores, según los datos estimados por AVERT el servicio de emergencia de virus de Network Associates.
El virus, de origen asiático, afectó especialmente a Corea del Sur, país en el que los usuarios de Internet no pudieron acceder a la Red durante siete horas. Según la Matrix NetSystem, compañía en Austin, el acceso a Internet en todo el mundo se ralentizó aproximadamente un 20 por ciento.
Una vulnerabilidad en SQL Server
El ataque que provoca una denegación de servicios en servidores corporativos, no ha afectado a las máquinas de los usuarios, y no pretende borrar datos de los ordenadores son provocar caídas del servidor para imposibilitar el acceso al mismo. En concreto, según explica Panda Software, el código malicioso afecta a servidores que ejecuten Microsoft SQL enviando un paquete de 376 bytes al puerto 1434 UDP (SQL Server Resolution Service Port) para lo que abre un puerto netbios. Al mismo tiempo utiliza una función para generar direcciones IP a las que enviar dicho paquete, estas direcciones, a su vez, las envían al puerto UDP 1434. Debido a este proceso continuo y los múltiples envíos se llega a generar un ataque del tipo DoS sobre dicho puerto.
Para los expertos las empresas que no hayan sufrido el ataque todavía deben en primer lugar comprobar que tienen instalado el parche que Microsoft publicó el pasado mes de julio y que se puede ver en la dirección http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp>. Y en segundo lugar bloquear el tráfico entrante desde el exterior al puerto 1434 UDP. Para los ordenadores que ya se han visto afectados la solución pasa por cambiar el servicio de SQL a manual y reiniciar el equipo, “de este modo eliminaremos el código de la memoria. A continuación bastará con instalar el parche de Microsoft y volver a iniciar el proceso”,
No tan dañino como...
A pesar de que el gusano Slammer ha sido declarado por algunos expertos como un virus de alto riesgo y que se le ha comparado con infecciones como IloveYou, Nimda o Code Red, de momento, parece que las consecuencias económicas y su alcance no llegan a ser como las que originó este último a mediados de 2001 que llegó a alcanzar a cientos de miles de servidores y provocó dos billones de dólares de pérdidas. Según los expertos, Slammer es igual que Code Red en lo que se refiere a la velocidad de expansión, peno no es tan dañino como este.
Para los laboratorios de Trend Micros, por su parte, el virus es “destructivo” y de “alto riesgo”, mientras que Symantec habla de un virus de bajo potencial. Para Network Associates es una alerta de alto riesgo.
Panda Software: www.pandasoftware.es
Trend Micro: www.trendmicro.com
Network Associates: www.networkassociates.com
Microsoft: www.microsoft.com
