Redacción - El nuevo gusano SQLSlammer, aparecido el sábado y que aprovecha una
vulnerabilidad de los servidores de SQL Server para lanzar ataques de denegación
de servicios contra los servidores de las redes corporativas, puede ver
incrementada su expansión con el comienzo de la semana cuando los entornos
empresariales inicien su actividad. A las pocas horas de su aparición, miles de
servidores en todo el mundo resultaron afectados.
El gusano, que entra a través de SQL Server, busca a través de la Red otros
servidores iguales con la misma vulnerabilidad para instalarse en ellos y
replicarse. Así, los efectos dañinos de este virus se concretan en un ataque de
denegación de servicios, que puede tener como efectos directos la caída del
servicio de correo electrónico, la ralentización de Internet y el bloqueo de la
Red, entre otros.
Según el director del Laboratorio de Virus de Panda Software, Luis Corrons,
"es muy recomendable estar alerta ante posibles encuentros con este gusano que
puede llegar a provocar un auténtico problema en las comunicaciones. La primera
medida es informarse acerca de las vías de contagio y propagación de este nuevo
virus y conocer cómo opera para erradicar su distribución masiva. Aunque en un
principio se prevé que los entornos empresariales sean los principales afectados
por este gusano, la versión SQL Server 2000 Desktop Engine (MSDE) puede ser
instalada en 98, Millenium, NT y 2000 Professional, y es utilizada por algunos
usuarios domésticos e, incluso, por desarrolladores de software, por lo que sí
pueden tener problemas si SQLSlammer llega hasta sus equipos".
Esta situación, en caso de agravarse, puede llegar a bloquear la actividad
empresarial y causar, de esta manera, múltiples pérdidas económicas al igual que
sucedió hace dos años con Code Red, que en sólo 9 horas llegó a afectar a más de
250.000 servidores de Internet. Estos dos gusanos tienen múltiples
características en común, por ejemplo, su origen asiático, el que sólo se
instale en memoria y que ambos lancen ataques de denegación de servicios.
Igualmente, también se asemejan en la imposibilidad de detectarlo con los
antivirus tradicionales y que la solución pase por instalar el parche que
Microsoft puso a disposición de los usuarios el pasado 24 de julio de 2002.
Los síntomas visibles de SQLSlammer son el aumento de tráfico por el puerto 1434
UDP (SQL Server Resolution Service Port) y la ralentización e incluso el bloqueo
del servidor en cuestión. Aunque no se detecten ninguno de los síntomas
mencionados, Panda Software recomienda tomar en cuenta las siguientes
consideraciones para chequear si el gusano ha afectado a la Red y asegurar la
integridad de la misma:
1. Comprobar que se tiene debidamente instalado el parche que Microsoft
ofrece
en su propia web o, en caso de no tenerlo, proceder a su descarga e
instalación.
2. Bloquear el tráfico entrante desde el exterior del puerto 1434 UDP (SQL
Server Resolution Service Port). Esta operación se puede realizar a través
del firewall, del router, etc., dependiendo de la configuración de la Red
corporativa existente en cada empresa.
3. En caso de verse infectado, basta con cambiar el servicio de SQL a manual
y reiniciar el equipo, de esta forma eliminaremos el código de la memoria. A
continuación bastará con instalar el parche de Microsoft y volver a iniciar el
servicio.
El Laboratorio de Virus de Panda Software advirtió ayer de la aparición de este
nuevo gusano denominado SQLSlammer. Este código malicioso afecta a servidores
que ejecuten Microsoft SQL. Se envía en un paquete de 376 bytes al puerto 1434
UDP (SQL Server Resolution Service Port). Para ello, abre un puerto netbios. Al
mismo tiempo utiliza una función para generar direcciones IP a las que enviar
dicho paquete. Estas direcciones, a su vez, las envían al puerto UDP 1434.
Debido a este proceso continuo y los múltiples envíos se llega a generar un
ataque de tipo DoS (Denegación de Servicio) sobre dicho puerto. |