«Червь» не наносит вреда пораженной машине и не портит данных на ней. Однако он наглядно демонстрирует, насколько быстро может распространяться и перегружать каналы связи крошечный (376 байт) «червь», содержащий лишь необходимый код.
Этот вирус сравнивают иногда с «червем» Code Red, поразившим системы Microsoft IIS в 2002 г. Однако в Internet гораздо больше машин IIS, чем SQL Server, и эффект «червя» Slammer/Sapphire оказался сравнительно краткосрочным. Как сказал в интервью для InfoWorld директор группы X-Force организации Internet Security Systems (ISS) Крис Роуланд, последствия появления «червя» были мало ощутимы уже спустя несколько дней. В воскресенье, 26 января, его влияние было более сопоставимо с вирусом Nimda, поражающим клиентов Microsoft Outlook. По данным мониторинга ISS, в воскресенье как Nimda, так и Slammer/Sapphire инициировали примерно по 10 тыс. нападений в час.
Я уверен, что к настоящему времени активность Slammer/Sapphire еще более ослабела (хотя вспышки возможны), а тяжкие последствия атак Code Red, по-видимому, будут ощущаться в течение более длительного времени. Вероятно, в целом искоренение Nimda обойдется дороже, чем борьба с Slammer/Sapphire. Но, несмотря на это, Slammer/Sapphire нанес информационным сетям гораздо более серьезный вред, чем Nimda. В ряде случаев сети на короткое время полностью выходили из строя.
По всей видимости, отказ сети происходил по двум основным причинам. Во-первых, «червь» занимал большую полосу пропускания, иногда полностью загружая канал связи. Во-вторых, «червь» поражал маршрутизаторы Cisco Systems, которые во множестве присутствуют в сетях по всему Internet. Некоторые маршрутизаторы Cisco оказались уязвимы из-за применяемого в них метода регистрации пакетов. Эти маршрутизаторы были настроены на блокирование всего трафика к порту 1434 и регистрацию всех отвергнутых пакетов, в том числе направленных к блокированному порту 1434, обычно используемому SQL Server. Поэтому трафик, инициированный «червем», в сочетании с протоколированием, вызвал перегрузку некоторых маршрутизаторов. На Web-странице компании Cisco приводятся рекомендации, как изменить конфигурацию устройства, чтобы избежать отказов.
Еще одна особенность «червя» заключается в том, что он поражает механизм Microsoft SQL Server Desktop Engine (MSDE), который входит во множество продуктов как Microsoft, так и независимых поставщиков. Среди этих продуктов — Visual Studio .NET (Architect, Developer, and Professional Editions), ASP.NET Web Matrix Tool, Microsoft Office XP Developer Edition, информационные базы для разработчиков сети Microsoft Developer Network (MSDN), подписавшихся по вариантам Universal и Enterprise, и Microsoft Access. Но это лишь верхушка айсберга. Огромный список продуктов, в которых применяется MSDE, приведен на Web-узле SQL Security. Список обновляется по мере того, как его составителям становится известно о других продуктах на основе MSDE.
Информация о «черве» Slammer/Sapphire опубликована и на Web-странице Microsoft, наряду со сведениями об исправлениях . Как всегда, перед загрузкой исправлений необходимо внимательно прочитать указания по их применению и сопутствующие статьи. Кроме того, полезно загрузить недавно выпущенный пакет обновлений SQL Server Service Pack 3 (SP3). Компания eEye Digital Security www.eeye.com предлагает бесплатный инструмент, с помощью которого можно определить, уязвима ли система для «червя».
Чтобы уберечься от атак, администраторы должны как можно быстрее применить программы коррекции. Брандмауэры следует настроить на блокирование любого неразрешенного трафика. Кроме того, любые операции дистанционного администрирования, связанные с открыванием необязательных портов, следует выполнять через VPN или какую-либо программу удаленного терминала. Я надеюсь, что, после того как шумиха вокруг нового «червя» уляжется, компании оценят важность превентивных мер защиты.