Ormai è cosa nota: il virus W32.SQL.Slammer (altrimenti detto W32.SQLExp.Worm o Worm.SQL.Helkern) ha fatto danni in tutto il mondo causando un enorme traffico della rete Internet ed il conseguente blocco dei server.
In particolare, il worm si diffonde soltanto su computer che hanno attiva una versione priva di patch di Microsoft SQL Server.
Il sistema con SQL Server non adeguatamente “patchato” viene attaccato per mezzo di un pacchetto UDP (User Datagram Protocol) lungo 376 byte, inviato sulla porta 1434, dove è in ascolto il Resolution Service. Il pacchetto di dati è costruito in modo tale da sfruttare una vulnerabilità (buffer overflow) presente su MS SQL Server, segnalata dal Microsoft Security Bulletin MS02-39 del 24 luglio 2002 (ved. www.nod32.it).
La disinfezione della macchine colpite dal worm può essere effettuata attraverso il riavvio del sistema e l’installazione del Service Pack 3 per MS SQL Server (ved. questa pagina).
eEye (www.eeye.com) è un’azienda conosciutissima, leader da tempo in fatto di sicurezza informatica tanto che sono stati proprio gli esperti di eEye ad identificare e segnalare molti dei bug presenti all’interno del sistema operativo Windows 2000/XP. eEye ha rilasciato un nuovo tool gratuito – denominato Retina Sapphire SQL Scanner – che permette di verificare se i propri sistemi siano vulnerabili o meno.
Una volta scaricato, il software è già predisposto per effettuare una connessione sulla porta 1434 UDP (la stessa usata da worm Slammer): è sufficiente specificare il range degli indirizzi IP da controllare e premere il pulsante Scan. Retina Sapphire SQL Scanner vi informerà sulle macchine vulnerabili.
Il programma è prelevabile da qui, previa registrazione gratuita.