Diverse bronnen op internet, waaronder CNN, maken melding van grote vertragingen op internet als gevolg van een virus-achtige uitbraak. Op dit moment worden er over het hele internet enorme aantallen scans uitgevoerd naar een lek in Microsoft SQL Server, waardoor een groot aantal sites verminderd bereikbaar zijn. Ook de DNS root-servers hebben bereikbaarheidsproblemen en tot wel 30 procent packetloss. Inmiddels heeft de worm een naam gekregen: W32/SQLSlammer.worm. Serverbeheerders worden aangeraden onmiddellijk de patch uit te voeren en de poorten 1432 tot en met 1434 voorlopig af te sluiten.
Het gaat om een bekend lek in SQL Server, dat werkt op UDP-poort 1434 (ms-sql-m). Voor dit lek is reeds enige maanden geleden een patch uitgebracht, die veel systeembeheerders echter nog niet hebben toegepast. De worm verzendt een pakketje van 376 bytes naar deze poort, waarop de geïnfecteerde server het pakketje naar willekeurige servers gaat vermenigvuldigen. Er is verder geen schade aan besmette servers: het enige wat de worm doet is zichzelf verder verspreiden. Bij het verzenden van UDP-pakketjes wordt geen pakketje teruggestuurd, waardoor met grote snelheid pakketjes op servers kunnen worden afgevuurd en netwerken kunnen komen plat te liggen.
Ook het Trueserver-netwerk is veel zwaarder belast dan normaal, de filters in de routers van TrueServer onderscheppen op dit moment maar liefst 16 terabyte verkeer per uur (!) als gevolg van de uitbraak. De uitbraak lijkt op die van "Code Red" in de zomer van 2001, toen er ook grote bereikbaarheidsproblemen optraden. Volgens Symantec zijn minimaal 22000 systemen wereldwijd het slachtoffer geworden van de aanval. Inmiddels verbetert de bereikbaarheid weer langzaam, maar met name in Azië zijn er nog problemen. Ook de Amerikaanse veiligheidsdiensten zijn zich ermee gaan bemoeien. Volgens hen is het mogelijk dat Noord-Korea betrokken is bij de uitbraak, maar dit gerucht lijkt vooralsnog niet gefundeerd:
"It's not debilitating," said Howard Schmidt, President Bush's No. 2 cyber-security adviser. "Everybody seems to be getting it under control." Schmidt said the FBI's National Infrastructure Protection Center and private experts at the CERT Coordination Center were monitoring the attacks. The latest attack was likely to revive debate within the technology industry about the need for an Internet-wide monitoring center, which the Bush administration has proposed. Some Internet industry executives and lawyers said they would raise serious civil liberties concerns if the U.S. government, not an industry consortium, operated such a powerful monitoring center.
Update 17:20: Meer informatie over de uitbraak en de werking van de worm is toegevoegd. Men tast nog steeds in het duister over de herkomst en het plotselinge oprukken van de worm.
