Ein neuer dateiloser Wurm ruft eine globale Epidemie hervor
Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datsicherheit teilt mit, dass ein neuer Internet-Wurm, ‚Helkern‘ (alias ‚Slammer‘) entdeckt worden ist, der Server unter dem Datenbank-System Microsoft SQL Server 2000 infiziert. Die geringe Größe des Wurms (nur 376 byte), die einmalige Infizier-Methode und die außerordentlich hohe Verbreitungsgeschwindigkeit geben Anlass zur Befürchtung, dass es sich um eine der größten Bedrohungen für ein normales Funktionieren des Internet seit mehreren Jahren handelt. Schon jetzt treffen Meldungen über Störungen des Internet aus Südkorea, Australien und Neuseeland ein.
Jetzt kann bereits festgestellt werden, dass der Wurm eine der größten Viren-Epidemien überhaupt hervorgerufen hat, welche schon in praktisch alle Länder der Welt gelangt ist. Es treffen viele Meldungen über Infizierungen durch Helkern aus Europa, den USA und Asien ein.
Helkern gehört in die Gruppe der sogenannten dateilosen Würmer: Schädlinge dieser Art führen alle Handlungen (u.a. die Infizierung und die Verbreitung) ausschließlich im Systemspeicher des Computers durch, was ihre Entdeckung und Neutralisierung für Standard-Antiviren-Technologien (Scanner) erheblich erschwehrt. Der erste Vetreter dieser Gattung war CodeRed, der am 20. Juli 2001 entdeckt wurde und damals eine größere Epidemie hervorrief. Bis heute sind keine weiteren dateilosen Würmer aufgetreten.
Helkern infiziert nur Computer unter dem Microsoft SQL-Server 2000. Diese Software ist ein multifuntionales Steuerungssystem für Datenbanken, welches auch auf Web-Servern breite Verwendung findet. Für Privatanwender, welche den Microsoft SQL-Server 2000 nicht selbst installiert haben, stellt Helkern keine Gefahr dar.
Der Wurm dringt über Schwachstellen des Typs Buffer Overrun im Sicherheitssystem des Microsoft SQL-Servers in die Computer ein. Dafür wird eine Nicht-Standard-Anfrage an den Ziel-Computer gesendet, bei deren Bearbeitung das System automatisch den in der Anfrage enthaltenen schädlichen Code des Wurms ausführt.
Danach beginnt Helkern mit seiner Prozedur zur weiteren Verbreitung übers Internet. Dieser Vorgang ist durch eine ungewöhlich hohe Geschwindigkeit gekennzeichnet, mit der Kopien des Wurms verschickt werden: Helkern startet einen endlosen Verbreitungs-Zyklus und erhöht damit den Internet-Verkehr um ein Vielfaches. „Innerhalb von wenigen Stunden stellten wir über 20`000 Versuche Helkerns fest, in unser Netzwerk einzudringen,“ sagt Igor Mitjurin, der Leiter der Abteilung für Informationssicherheit der Russlavbank. „Allerdings sind diese Versuche alle erfolgreich abgewehrt worden, dann einer effizienten Sicherheitspolitik, welche eine rechtzeitige Installation von Patches für die gesamte Software, welche in unserem Unternehmens-Netzwerk Verwendung finden, umfasst.“
Zur Zeit ist der MS SQL-Server eine der verbreitetsten Datenbanken, welche auf Hunderttaussenden Computern rund um die Welt verwendet wird. Die Ereignisse belegen, dass auf den meisten noch keine Updates des Sicherheitssystems installiert sind. „Helkern ist eine reale Gefahr, welche ernsthafte Störungen der Internet-Verbindung hervorrufen kann. Ja, wir rechnen sogar damit, dass solche Attacken in Zukunft immer häufiger auftreten werden. Dies ist ein weiterer Beweis für die Notwendigkeit, neue Methoden zur rechtzeitigen Erkennung und Prävention von Viren-Epidemien im Internet, auszuarbeiten, weil die bereits existierenden Technologien sich als zu ineffizient erwiesen haben,“ erklärte Eugene Kaspersky, Leiter der Antiviren-Forschung von Kaspersky Labs.
Außer des großen Umfangs an überflüssigem Internet-Verkehr hat Helkern keine weiteren Auswirkungen, auch keine destruktiven. Trotzdem empfehlen wir den Usern sofort ein Update für das Sicherheitssystem des Microsoft SQL-Servers zu installieren, welches heruntergeladen werden kann.