SQL Slammer
Upptäckt: Januari 2003

Ett meddelande på säkerhetsforumet Bugtraq den 25 januari 2003 klockan 08:11:41:

”MS SQL WORM IS DESTROYING INTERNET BLOCK PORT 1434!”

Meddelandet från experten Michael Bacarella blev det första officiella varningsropet i väst om SQL Slammers framfart. Vid det laget hade hela internet legat nere i Sydkorea i flera timmar. Maskens utveckling saknade motstycke i modern historia.

En senare analys visade att SLQ Slammers spridning kunde åskådliggöras i en exponentiell kurva med en dubbleringstid på 8,5 sekunder. 90% av alla datorer som var mottagliga smittades inom loppet av tio minuter från det att masken dök upp. Lyckligtvis blev dessa inte så många, sett till att masken spritts över hela världen.

22 000 smittade
Den bugg i Microsofts SQL Server Desktop Engine som utnyttjades hade lagats i en patch redan sex månader tidigare, och endast de som inte laddat ner patchen var följaktligen mottagliga för Slammer. Symantec uppskattade trots detta antalet smittade datorer till 22 000.

Dessa 22 000 datorer började frenetiskt att skicka ut versioner av viruset till spontangenererade IP-adresser, vilket fick en mängd routers att klappa ihop. Angränsande routrar började skicka rapporter om haveriet till ännu fler routrar, och i takt med att dessa statusrapporter blev fler och fler saktades internettrafiken ner avsevärt.

En andra våg
När de kraschade routrarna till slut startades om skickade de per automatik ut nya statusrapporter som tog upp ännu mer bandbredd, vilket skapade en andra våg som fick fler routrar att krascha, och så vidare.

SLQ Slammers enorma effekt hade en hel del med maskens ringa storlek att göra: 376 byte. Detta gjorde att de infekterade datorerna kunde skicka hundratals per sekund.


Nästa del i serien: Kanske världens genom tiderna farligaste virus. Det har attackerat både franska- och brittiska flygvapnet och spritts till miljontals datorer världen över.