El virus ‘SQL Slammer’ sigue arrasando en los servidores.

Si el sábado pasado las comunicaciones por Internet sufrieron el peor ataque de los últimos 18 meses, los expertos aseguran que lo peor está por llegar. Después de paralizar entre 150.000 y 200.000 servidores, el virus ‘SQL

Slammer’
provocará hoy lunes fallos todavía más graves, cuando se pongan en marcha millones de ordenadores al comenzar la jornada laboral.

(Mas información, sigue leyendo…)El virus, del tipo conocido como ‘gusano’, comenzó a propagarse en las primeras horas del sábado y desquició o impidió las operaciones de los sitios de Internet en Europa, Asia y el continente americano.

El simple acceso a diarios con páginas en Internet o a bases de datos electrónicos sufrió demoras considerables. En Estados Unidos, la empresa American Express señaló que sus clientes no pudieron acceder a los servicios para sus tarjetas de crédito.

Aunque el domingo los efectos del virus habían remitido considerablemente, los expertos prevén serios problemas con el comienzo de la semana laboral, el lunes. “Ahora mismo (por el domingo), hay 120.000 direcciones IP y sistemas infectados, pero el lunes serán muchos más”, aseguró Alan Paller, del Instituto SANS, una empresa experta en seguridad.

El virus ha afectado especialmente al correo electrónico, y los expertos en seguridad calculan que entre 150.000 y 200.000 servidores se colapsaron el sábado.

Sólo afecta a servidores

Según el Centro de Alerta Temprana Antivirus del Ministerio de Ciencia y Tecnología el nuevo gusano afecta a sistemas sobre los que se ejecuta Microsoft SQL Server y puede llegar a causar una excesiva ralentización en los servicios e incluso la caída del sistema.

El código malicioso, que utiliza en su propagación (paquete de 376 bytes) el puerto 1434 UDP (SQL Server Resolution Service), ejecuta el ataque de denegación de servicio y sólo es residente en memoria no teniendo ningún fichero asociado. Por esta razón, los antivirus que no realicen escaneo de memoria, no podrán detectar el gusano.

Cuando el Win32.SQLSlammer llega a un sistema abre un puerto “netbios” para enviar el paquete que contiene al gusano; genera direcciones IP a las que enviar dicho paquete, que a su vez se derivan al puerto UDP 1434.

Debido a este proceso continuo y los múltiples envíos, se llega a originar un ataque de tipo DoS (Denegación de Servicio) sobre dicho puerto.

Para proteger el sistema, el Centro de Alerta Antivirus aconseja bloquear el puerto 1434 UDP y así evitar ataques externos, además de realizar la descarga e instalación del parche que solventa la vulnerabilidad afectada.

La Oficina Federal de Investigaciones (FBI) ha indicado que la aparición del virus está bajo investigación y que, de momento, no existen pistas concluyentes sobre su origen.

Se perdió hasta el 20% del tráfico

Tom Ohlsson, vicepresidente de Mercados de la empresa de seguimiento de Internet Matrix NetSystems, señaló que en el peor momento de la actividad del virus se perdió alrededor de un 20% del tráfico de Internet. Según destacó, el ‘gusano’ tuvo su origen en Hong Kong y desde allí comenzó a propagarse.

El virus ‘gusano’ es un pequeño programa que se copia a sí mismo y, a diferencia de los virus enviados en mensajes electrónicos, no causa daños o la pérdida de datos en los sistemas de los ordenadores que lo reciben.

Su objetivo son los accesos a los servicios de Internet, entre ellos los de compra o los bancarios, que se ven frenados de manera considerable, según han explicado los expertos.

El Centro Nacional de Protección para la Infraestructura (CNPI), que tiene sus oficinas en la sede del FBI en Washington, señaló que el virus fue “capturado” por la tarde y que se está examinando su estructura.

También añadió que la incursión de Zafiro fue detectada a poco de comenzar a propagarse, por lo que es posible que los daños provocados hayan sido mínimos.

El CNPI indicó que es probable que Zafiro no sea tan dañino como el virus ‘gusano’ Código Rojo, que hace dos años provocó el caos en los sistemas informáticos de todo el mundo.

Categorias: Internacional

Etiquetas:

13s Comentarios

  1. Ya lo ví en las noticias, hay que joerse con los koreanos, en este caso dijeron que podía venir de china o japón. Te cagas con la gente esta la que pueda llegar a liar
  2. Yo pensaba que internet era un poco segura, gestionada por profesionales y disponiendo de las más altas tecnologías. Pero, me he equivocado.

    Comprobando desde una web, los sistemas utilizados por diferentes servidores, compruebo que la mayor parte de estas utilizan sistemas Unix en sus diferentes sabores (AIX, Solaris, Linux, BSD).

    Mi gran sorpresa está en este bichito llamado Win32.SQLSlammer (Zafiro para los colegas) que ataca al Microsoft SQL Server.

    El nombrecito lo dice todo Win32. Esto quiere decir que los sistemas más criticos de internet utilizan algun tipo de Windows y el famoso SQL Server de Microsoft. Por todos es sabido las multiples bulneravilidades de Microsoft como para instalar estos sistemas en operaciones criticas de internet. Es más, todas las grandes empresas del mundo utilizan sistemas Unix para sus servidores. Sin ir más lejos, esta misma web está alojada en un sistema Red Hat Linux.

    Para colmo ayer vi en el informativo de Tele5 que la bulneravilidad era conocido desde hace meses y solucionada, y se ve que algunos ROOT SERVERS no habian aplicado el parche.

    ¿Este es un mundo de locos? Yo desde luego no lo entiendo. Si alguien lo entiende, que por favor me lo explique.

  3. Bueno, debo informar que el gusano que colapsó internet (8 de los 13 server raiz) durante horas ya está totalmente controlado e internet a vuelto a su cauce normal.

    Ha sido una demostración de la total ineficiencia por parte de los gestores de estos server raiz, tanto por no haber actualizado el Microsoft SQL Server con su parche correspondiente como por usar dicho software y el Sistema Operativo que ello implica. Y la verdad esque no creo que usaran este software por voluntad propia, es bueno de vez en cuando recordar que Microsoft tiene un autentico monopolio y acuerdos y contratos con multinacionales. Una vez más, todo por la pasta.

  4. Tienes razón.

    Se construyo internet para que soportase guerras nuclerares, y llega un bichito y la pone en jaque.

    Parece mentira

    ¿Hay que poner una medalla al programador del bichito o despedir a los gestores de esos servidores?

  5. Se podian intentar las dos cosas, no? Y depaso si el tito gates se va unos meses (o años) a la lunia… tp vendria mal 😉

    Saluuudosss!!!!

    Viva TuX, Gora TuX, TuX Forever!!!!!!!!!!!!…. (una rayada xDD )

  6. Recordar a todo el mundo que aunque ciertamente microsoft no es del agrado de casi nadie (ni mio tampoco), la culpa unica y final de que se produzcan ataques es de los crakers, que da la impresion de que se trata en los foros estos temas con cierta complacencia juvenil, siendo lo unico cierto que paralizar los servicios de internet supone una gran perdida para todos, desde el que juega por internet hasta la empresa multinacional.
  7. Internet se diseño hace mucho tiempo para soportar una posible guerra nuclear, pero primero; si USA son gilipollas ahora, hace años lo eran mas. Segundo; La infraestructura de internet creo que esta un poco infradimensionada, por lo que tampoco creo que sea muy chungo saturarla (muchos coches, poca autopista).

    Yo al programador del bichito, le colgaba como en el crimen de cuenca, desnudo y por las pelotas, y a los gestores de los servidores…., una colleja por listos.

    saludos

  8. La manera de colgar al programador del bichillo…. me parece un acto de justicia (aunque sea un chabal). Pero a los gestores …..una colleja sólo. Yo les colgaba tambien aunque sea bestidos.
  9. Por supuesto que el programador del bicho es el mayor culpable. Ese está claro que es un delincuente pero, existe una enorme negligencia profesional de los administradores de esos servidores. Con esa negligencia yo he salido afectado claramente en todo esto.

    Si en tu banco entran y borran tu cuenta, esta claro quien tiene que ir a la carcel. Aunque digamos: que tio más listo. Pero si se demuestra que la puerta del banco no tenia cerradura ¿que hay que hacer?.

  10. hola! me gustaria saber como puedo bloquear el puerto 1434,tengo modem,supongo que desde firewall pero todavia no e podido localizarlo. cuales son los pasos para acerlo? un saludo y gracias!!!!