Его появление отмечено в США, Южной Корее, Австралии и Новой Зеландии. Вирус поражает системную память и распространяется в ней, что значительно затрудняет процесс его обнаружения и устранения с помощью антивирусных сканеров. Все это приводит к так называемым «веерным» отключениям частей Интернета, т. е. к нарушению его связности. Helkern относится к типу «бестелесных» червей, первый из которых появился в 2001 г. под именем CodeRed. Объем новой вредоносной программы всего 367 байт.
Новый вирус живет только на тех компьютерах, где установлена программа Microsoft SQL Server 2000. Он проникает через брешь в системе безопасности этого продукта, а именно используя класс «переполнение буфера» (Buffer Overrun). Для этого на целевой компьютер посылается нестандартный запрос, при обработке которого автоматически исполняется и содержащийся в нем код вируса. В результате Helkern инициирует процедуру дальнейшего распространения по Интернету. Данный процесс характеризуется высокой скоростью рассылки копий червя, а так как цикл его практически бесконечен, то это приводит к многократному повышению сетевого трафика. Так, в течение нескольких часов с начала эпидемии было зарегистрировано более 20 тыс. атак вируса Helkern на сеть «Русславбанка», справиться с которыми удалось благодаря своевременной установке «заплатки» для всего программного обеспечения в системе безопасности банка. Других побочных, в том числе разрушительных действий вируса не отмечено.
«Лаборатория Касперского» рекомендует пользователям установить обновление для системы безопасности Microsoft SQL Server, загрузив его с сервера по адресу: www.Microsoft.com/Downloads/ Release.asp?ReleaseID=4062. Полезные ссылки находятся также на серверах www.kaspersky.com и www.viruslist.com.
По мнению аналитиков из «Лаборатории Касперского», серьезную озабоченность вызывает не столько сам вирус Helkern, сколько появление технологии быстрого снижения трафика Сети, которая позволяет клонировать вредоносных червей, четко привязанных к бреши в системе безопасности конкретного программного продукта.
Как сообщили в «Лаборатории Касперского», инкубационный период при заражении вирусом составил пять дней. Появившись в Китае 20 января текущего года, он распространился по миру. Почти половина зараженных серверов пришлась на США, около 8% — на Германию, по 5% — на Южную Корею, Великобританию и Канаду.