SQL Slammer-ormens angreb kulminerede tilsyneladende omkring kl. 6.30 lørdag morgen, hvor nettets routere blev oversvømmet med datatrafik.
Seks timer efter angrebet var de fleste kommercielle sites som havde været påvirket af angrebet tilbage på nettet igen. Symantec vurderer at mindst 22.000 websites i hele verden er blevet umiddelbart ramt af angrebet.
Internet-ormen angriber på UDP-port 1434. Sikkerheds-eksperter anbefaler at blokere porten eller helt lukke Microsoft SQL Server. Hvis man har installeret den seneste sikkerhedsopdatering skulle programmet dog ikke være sårbart.
SQL Slammer udnytter et sikkerhedshul som blev opdaget og rettet allerede i juli 2002, men det er umuligt at vide, hvor mange administratorer der har installeret Microsofts patch.
Den hurtige udbredelse af ormen skyldes især at den bruger UDP-protokollen. UDP (User Datagram Protocol) er forbindelsesløs - i modsætning til den normale netprotokol, TCP, som opretter en forbindelse mellem afsender og modtager.
UDP sender data hurtigere end TCP, fordi protokollen ikke venter på, at serveren skal bekræfte modtagelsen af datapakkerne - og det gør protokollen meget velegnet til den form for databombardement, som blev gennemført lørdag morgen.
Den nye internet-orm sammenlignes allerede med computer-virussen Code Red, som slog til i sommeren 2001 og ligeledes lammede dele af nettet.
Det eneste formål med SQL Slammer er tilsyneladende at oversvømme nettet med datatrafik. Når ormen har inficeret en ny maskine begynder den straks at sende nye pakker ud til tilfældige adresser.
Denne form for aktion kaldes også et "denial of service" (DoS) angreb, men i modsætning til lignende orme angriber SQL Slammer øjensynligt ikke et bestemt website, men forsøger at lamme hele nettet.
Virussen eksisterer kun i serverens hukommelse, hvilket kan gøre det sværere at detektere den med antivirusprogrammer, og den starter en uendelig programsløjfe, som får serveren til at tro at den modtager trafik hele tiden.
En inficeret server kan renses ved at genstarte maskinen, hvorefter man straks bør installere Microsofts patch for at sikre, at serveren ikke bliver inficeret igen.
Ifølge de foreløbige oplysninger er angrebet især gået hårdt ud over Sydkorea, hvor det overhovedet ikke var muligt at gå nettet lørdag. Regeringen fortæller at landet har været udsat for "cyber-terror", men det er stadig uklart, om de sydkoreanske netproblemer har forbindelse til SQL Slammer.
I Thailand, Japan, Malaysia, Filippinerne og Indien var der også meldinger om internet-nedbrud eller forsinkelser lørdag.
Mindst fem af nettets 13 centrale knudepunkter blev direkte ramt af angrebet, som er et af de mest omfattende i nettets historie.
Premium
Microsoft udskyder vigtig ændring for partnerne: Får tre måneder mere, ellers falder hammeren