Архив

«Helkern»: 376 байт, которые потрясли мир

«Лаборатория Касперского», российский лидер в области разработки антивирусных систем безопасности, сообщает об обнаружении нового Интернет-червя «Helkern» (также известен под именем «Slammer»), заражающего серверы под управлением системы баз данных Microsoft SQL Server 2000. Небольшой размер червя (всего лишь 376 байт), уникальная технология заражения и исключительно высокая скорость распространения позволяют назвать «Helkern» одной из главных угроз нормальному функционированию Интернет за последние несколько лет. Уже сейчас поступают данные о перебоях в работе Всемирной сети из Южной Кореи, Австралии и Новой Зеландии.


На данный момент можно утверждать, что червь вызвал одну из крупнейших в истории глобальную эпидемию, которая затронула практически все страны мира: многочисленные сообщения о фактах заражения «Helkern» поступают из Европы, США, Азии, а также из России.



«Helkern» принадлежит к классу так называемых «бестелесных» червей: эти вредоносные программы осуществляют все операции (включая заражение и распространение) исключительно в системной памяти компьютера, что значительно затрудняет процесс их обнаружения и нейтрализации стандартными антивирусными средствами (сканерами). Первым представителем этого класса червей был «CodeRed«, обнаруженный 20 июля 2001 г. и тогда же вызвавший крупномасштабную эпидемию. До сегодняшнего дня «бестелесные» черви более никак себя не проявляли.



«Helkern» заражает только компьютеры под управлением Microsoft SQL Server 2000. Это ПО является многофункциональной системой управления базами данных, которая широко используется в том числе и на Web-серверах. Для домашних пользователей, которые самостоятельно не устанавливали Microsoft SQL Server «Helkern» не представляет опасности.


Червь незаметно проникает на компьютеры через брешь класса «переполнение буфера» (Buffer Overrun) в системе безопасности Microsoft SQL Server. Для этого на целевой компьютер посылается нестандартный запрос, при обработке которого система автоматически выполняет и содержащийся в запросе вредоносный код червя.


После этого «Helkern» начинает процедуру дальнейшего распространения по сети Интернет. Этот процесс отличается исключительно высокой скоростью рассылки копий червя: «Helkern» запускает бесконечный цикл распространения, и, таким образом, многократно повышает сетевой трафик.


‘Всего лишь за несколько часов эпидемии нами зарегистрировано более 20 тысяч попыток «Helkern» проникнуть в нашу сеть, — говорит Игорь Митюрин, начальник отдела информационной безопасности «Русславбанка», — Правда все эти попытки были успешно отражены благодаря реализации эффективной политики безопасности, которая подразумевает своевременную установку патчей для всего ПО, используемого в нашей корпоративной сети’.


Сегодня MS SQL Server является одной из самых популярных баз данных, которая используется на сотнях тысяч компьютеров по всему миру. События показывают, что на большинстве из них до сих пор не установлены обновления системы защиты.


‘»Helkern» — это реальная угроза, которая способна вызвать серьезные сбои в работе Интернет. Более того, мы склонны считать, что в будущем подобные атаки будут происходить с нарастающей частотой. Это еще раз доказывает необходимость разработки новых подходов к предупреждению и выявлению вирусных эпидемий в Интернет, поскольку существующие технологии наглядно доказывают свою низкую эффективность’, — сказал Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского».



Помимо создания большого объема избыточного сетевого трафика «Helkern» не имеет других побочных действий, в том числе деструктивных. Несмотря на это мы рекомендуем пользователям немедленно установить обновление для системы безопасности Microsoft SQL Server, которое доступно для загрузки по адресу: <http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602>.




Полезные ссылки:




Описание «Helkern» в Вирусной Энциклопедии Касперского: http://viruslist.ru/viruslist.html?id=1701882


Описание бреши в системе безопасности Microsoft SQL Server (Microsoft Security Bulletin MS02-039): http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp


Описание бреши в системе безопасности Microsoft SQL Server (NGSSoftware Insight Security Research Advisory)

Обновления антивирусных баз данных для Антивируса Касперского

«Helkern»: 376 байт, которые потрясли мир

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике