SQL Slammer эксплуатирует старую уязвимость в Microsoft SQL Server и Desktop Engine, позволяющую спровоцировать переполнение буфера и в результате вызвать отказ в обслуживании. Червь эксплуатирует уязвимость, отправляя большое количество отформатированных UDP-запросов на порт 1434. Заразив сервер, вредонос стремится как можно скорее распространить инфекцию и отправляет ту же полезную нагрузку на случайные IP-адреса, вызывая отказ в обслуживании атакуемой системы.
Уязвимость была впервые обнаружена исследователем Дэвидом Литчфилдом (David Litchfield) за несколько месяцев до появления SQL Slammer. Тогда Microsoft выпустила обновление, однако оно было установлено далеко не на всех уязвимых серверах.
По словам исследователей Check Point, в ноябре прошлого года SQL Slammer снова вернулся в строй. В период с 28 ноября по 4 декабря эксперты зафиксировали существенный рост числа атак с использованием червя. Атаки были направлены на цели в 172 странах мира, что свидетельствует, скорее, о большой волне разных атак, чем об одной масштабной. Наибольшее число IP-адресов, с которых осуществлялись атаки, пришлось на Китай, Вьетнам, Мексику и Украину. Причины возвращения 14-летнего червя экспертам Check Point выяснить не удалось.