Alarm: SQL-Wurm legt Internet lahm

Ein winziger SQL-Wurm mit einer Größe von lediglich 376 Byte legt derzeit weite Teile des Internets lahm. W32.SQLExp.Worm" - ebenfalls bekannt als "SQL Slammer", "DDOS.SQLP1434.A" sowie "W32/SQLSlammer" nutzt dabei eine seit einem halben Jahr bekannte Lücke des Microsoft SQL Servers.

Alle großen Anbieter von Antivirensoftware warnen vor dem neuen Wurm, der Rechner mit Microsofts "SQL Server 2000" oder der "Microsoft Desktop Engine (MSDE) 2000" lahm legt. Der Wurm löst über ein modifiziertes UDP-Packet auf Port 1434 einen Bufferoverflow aus und beginnt dann, sich mit der vollen Bandbreite des Rechners an zufällige IP-Adressen weiterzuverschicken.

Da er in einem einzigen Datenpaket Platz findet, kann er sich mit einer bisher nie da gewesenen Geschwindigkeit verbreiten. Auch erzeugen die vielen Datenpaket ein Datenvolumen, dass bereits Teile des Internets lahm zu legen droht.

Der Wurm wird derzeit als extrem gefährlich eingestuft. Internet Security Systemshat mit AlertCon 4 die höchste Bedrohungsstufe ausgerufen und geht davon aus, dass dieser Zustand noch das Wochenende über aufrecht erhalten bleibt. Code Red und Nimda hatten nur Stufe 3 erreicht.

Microsoft bietet seit dem 24. Juli letzten Jahres einen passenden Patch, der diese Lücke schließt. Wie die gegenwärtige Eskalation zeigt, scheinen aber viele Rechner ungeschützt zu sein. Auch alle Antiviren-Software-hersteller arbeiten derzeit fieberhaft an Lösungen und bieten erste Updates zum Schutz gegen SQL Slammer an. Wir empfehlen als erste Notfalllösung, sofort den UDP-Port 1434 in beide Richtungen in Ihrer Firewall zu blocken. (ala)