1、“蠕虫王”是一个*为罕见且*其短小的蠕虫**,英文名为Worm.SQLexp.376,主要通过Microsoft SQL Server的漏洞发动**,*具破坏力。
2、蠕虫王蠕虫**仅在内存中传播,没有文件载体,其长度仅有376字节。但其传播速度*快,且使用广播数据包方式发送自身代码,每次均**子网中所有可能存在机器。易受“蠕虫王”**的机器类型为所有安装有Microsoft SQL Server 2000并且没有修补漏洞的NT系列服务器,包括WinNT/Win2000/WinXP等,不会**Win9X系统。由于蠕虫王并不对是否已经侵入系统作判定,所以其不停的**将会造成拒绝服务式**,从而导致被**机器因瘫痪而停止服务,***为惊人。
3、
2003年1月25日,互联网上出现一种**高危蠕虫**——“2003蠕虫王”(Worm.NetKiller2003),其**远远超过曾经肆*一时的红色代码**。**该蠕虫**后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行**。由于“2003蠕虫王”具有*强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球*的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
2003年1月25日,互联网上出现一种**高危蠕虫**——“2003蠕虫王”(Worm.NetKiller2003),其**远远超过曾经肆*一时的红色代码**。**该蠕虫**后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行**。由于“2003蠕虫王”具有*强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球*的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
2003蠕虫**是一个*为罕见的具有*其短小**体却具有*强传播*的蠕虫**。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下:
该****未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着**使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度*快,其使用广播数据包方式发送自身代码,每次均**子网中所有255台可能存在机器。易受**的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。所幸该蠕虫并未**或者传播文件形式**体,纯粹在内存中进行蔓延。**体内存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".该**利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁**得到修正。
该蠕虫**安装有Microsoft SQL的NT系列服务器,该**尝试探测被**机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机
会在被**机器上运行进一步传播。
该蠕虫**MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有***别System权限,因而该蠕虫也获得System级别权限。受**系统:未安装MS SQL Server2000 SP3的系统
而由于该蠕虫并没有对自身是否已经侵入系统的判定,因而该蠕虫造成的**是显然的,不停的尝试**将会造成拒绝服务式**,从而导致被**机器停止服务瘫痪。
该蠕虫由被**机器中的sqlsort.dll存在的缓冲区溢出漏洞进行**,获得控制权。随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。紧接着调用 gettickcount函数,利用其返回值产生一个随机数**,并用此**产生一个IP地址作为**对象;随后创建一个UDP socket,将自身代码发送到目的被**机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动**一系列动作。
建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作:
1、阻塞外部对内和内部对外的UDP/1434端口的访问。
如果该步骤实现有困难可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。
在边界路由器(或者防火墙)上进行检查,也可启动网络监视程序(譬如Sniffer Pro)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,这些主机*为可能**了该蠕虫。
如果不能确定,则认为所有运行Microsoft SQL Server 2000而没有安装补丁程序的机器都是被**的机器。
可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描并不准确,可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是,只有SQL Server 2000才会受到此蠕虫的**。
4、重新启动所有被**机器,以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫**。
注意:如果由于某种原因无法从网络下载补丁进行安装,因此可以在其他未被**的主机上下载补丁,刻录在光盘或者保存在其他移动介质上,然后再到被**的主机上进行安装。
END,本文到此结束,如果可以帮助到大家,还望关注本站哦!