Slammer-worm wellicht oorspronkelijk uit Nederland

JA:

MSDE is integrated with these Microsoft applications:

wat ik ook wel komisch vond wat ik net op fok! las:

De SQL worm, die eerder deze week voor veel problemen zorgde, heeft ook de servers van Microsoft zelf te pakken gehad.

Microsoft was vergeten om hun eigen reparatiesoftware te installeren op hun servers, waarna het bedrijf ook zelf een slachtoffer van het virus werd. Een woordvoerder van Microsoft liet weten dat de schuld wordt gelegd bij nalatige systeembeheerders.

toch een beetje slordig?
www.webwereld.nl/nieuws/13927.phtml
[edit]
brrr, wat doet deze post hier? zeker fout geklikt

Virusscanners scannen het geheugen for virussen. Dus waarom wordt dit dan niet gedetecteerd?

Het moet duidelijk zijn dat het technisch wel mogelijk is, alleen is in bovenstaande samenvatting de formulering nog iets onduidelijker dan de oorspronkelijke:

Normaliter scant een virusscanner het zogenoemde 'file allocated memory', waarbij er een koppeling is tussen het geheugen en een bestand op de harde schijf. Doordat Slammer zich niet in dit gedeelte van het geheugen nestelt, wordt de worm ook niet opgemerkt door de virussoftware.

Wat nu precies met file allocated memory bedoeld wordt is onduidelijk, is het kernel space i.p.v. user space, paging/VM/resource tracking gerelateerd, low level file access zodat er geen sporen in de directory structuur overblijven of gewoon dat er geen files worden gebruikt maar puur alleen geheugen, geen idee. Ze hadden net zo goed kunnen zeggen dat huidige scanners gewoon dit type nog niet kunnen vinden, of misschien dat een netwerk scanner die remote alleen HD checkt en niet geheugen het niet vindt.

Als ik het goed begrepen heb kunnen virusscanners (nog) niets tegen dit soort virussen doen omdat in tegenstelling tot de 'normale' virussen, Slammer (en Code Red for that matter) zich kunnen verspreiden zonder dat ze een bestand nodig hebben. Ze bestaan slechts als datapakketjes, met een stukje foute code eraan, die gebruik maken van de buffer-overrun bug die in ongepatchte SQL-servers zit.
Daarom zijn die ook als enige kwetsbaar.
Omdat het virus geen gebruik maakt van bepaalde file-operations kunnen virusscanners er niets mee beginnen. Of zoals in een ander Kaspersky bericht stond:

Monitors and scanners are only able to establish the fact that malicious code is present in a computer's system memory, but are powerless to remove it; and even if they could, Code Red would simply repeat the attack, once again infecting the computer.

Dus, yep, virusscanners zijn als het ware nog te dom voor het vullen van security-gaten in andere programma's.

[edit: reactie op typhon]
Wat het aanricht is heel simpel: overbelaste servers. Omdat het op een enorm agressieve manier zichzelf aan het verspreiden is genereert 't in zeer korte tijd zoveel random calls dat er dingen gebeuren als afgelopen weekend... De harde schijf laat ie, zoals je zelf al zei, met rust
[/edit]

Het is dus gewoon een stukje onbekende data wat als niets kwaads wordt gezien en ook geen verdere rommel met files achterlaat.

Alleen dan begrijp ik niet hoe dit virus ter werk gaat Het moet toch uitgevoerd worden en dan gebreurt er toch wel iets met de harddisk....(wat richt het virus eigenlijk aan)

De meeste virusscanners houden een paar zaken in de gaten, zoals de mail poorten en het filesysteem. De meeste virussen komen namelijk via de mail binnen of via een disk (netwerk,floppy,...).

De moeilijkheid van een virus is niet zozeer het virus in het geheugen van de computer te krijgen, maar om het vervolgens opgestart te krijgen. De eerste slimmeriken bedachten een mail met een attachment met de naam "www.party.com" (gewoon een COM-file, dus executable). Veel mensen klikken daarop en dan wordt het virus gestart. Niet erg geavanceerd dus. De meeste viruscheckers onderscheppen dit ook wel, omdat de file onder water naar schijf geschreven wordt. Op dat moment grijpt de viruschecker in. Deze methode wordt nog steeds gebruikt ("Look at my screensaver for you" e.d.).

De truc is dus om een virus op de computer te krijgen en deze vervolgens automatisch te laten starten. De zogenaamde "buffer overrun" is hier een goede methode voor. Gegeven de volgende situatie:

De programmeur van een mail-server reserveert 100 bytes voor het subject, maar controleert niet of het subject niet langer is. Stel nu dat iemand een mail met een subject van 1000 bytes stuurt. Er worden dan 900 bytes overschreven. Door dit slim te doen kun je in een dergelijk geval soms je eigen code in die 1000 bytes starten. Op zich is het niet eens zo heel erg moeilijk voor een goede programmeur met wat assembler en stack kennis. Het moeilijkste is om dergelijke zwakheden in een programma te vinden en te zorgen dat je de data op die plek krijgt.

In het geval van SQL Server kun je dus door bepaalde data naar die poort te sturen waarschijnlijk ook zo'n "buffer overrun" opwekken. De data gaat dus direct naar het SQL Server proces waar het in geheugen wordt geplaatst. Kort daarna wordt de code opgestart en gaat zelf lekker rond staan scannen.

De data komt dus niet via een bekende poort binnen en al helemaal niet op het filesysteem. De enige mogelijkheid voor een virusscanner zou zijn om alle binnenkomende data op alle poorten te scannen. Dat is natuurlijk nogal heftig voor een zwaar server systeem. Database servers moeten behoorlijk performance leveren en dan ben je niet blij met dit soort constructies die tijd kosten.

Overigens zijn er ook andere oplossingen mogelijk. Zorg dat je data ASCII is en strip bij de binnenkomende data direct het hoogste bitje eraf. Voor het normale protocol is dit geen probleem (is toch ASCII), maar binaire data zal verminkt worden. Programmacode kan dus niet overkomen. Ook de "nieuwe" Microsoft Visual C++ .NET compiler kent speciale opties om run-time te controleren op buffer overruns. Kost wel iets performance, maar dekt wel dit soort fouten af.

Omdat dit stukje proces gebruik maakt van M$FT SQL Server. En virusscanners herkennen SQL Server (helaas) niet als virus.