什么是蠕虫病毒?要怎么杀?
我要评论2003蠕虫王”(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的红色代码病毒。
感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
小编建议您使用360免费杀毒进行查杀,然后再根据查杀情况进行相应措施。蠕虫病毒传播过程
2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下:
该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。 易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。 病毒体内存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend". 该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。
蠕虫病毒的特征
该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为 Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机
会在被攻击机器上运行进一步传播。
该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System权限,因而该蠕虫也获得System级别权限。 受攻击系统:未安装MS SQL Server2000 SP3的系统
而由于该蠕虫并没有对自身是否已经侵入系统的判定,因而该蠕虫造成的危害是显然的,不停的尝试入侵将会造成拒绝服务式攻击,从而导致被攻击机器停止服务瘫痪。
该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击,获得控制权。随后分别从kernel32以及 ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。紧接着调用 gettickcount函数,利用其返回值产生一个随机数种子,并用此种子产生一个IP地址作为攻击对象;随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。
感染蠕虫病毒后的解决方法
建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作:
1、阻塞外部对内和内部对外的UDP/1434端口的访问。
如果该步骤实现有困难可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。
2、找到被感染的主机
在边界路由器(或者防火墙)上进行检查,也可启动网络监视程序(譬如Sniffer Pro)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,这些主机极为可能感染了该蠕虫。
如果不能确定,则认为所有运行Microsoft SQL Server 2000 而没有安装补丁程序的机器都是被感染的机器。
可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描并不准确,可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是,只有SQL Server 2000才会受到此蠕虫的感染。
3、拔掉被感染主机的网线。
4、重新启动所有被感染机器,以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。
5、插上被感染机器的网线
注意:如果由于某种原因无法从网络下载补丁进行安装,因此可以在其他未被感染的主机上下载补丁,刻录在光盘或者保存在其他移动介质上,然后再到被感染的主机上进行安装。
相关文章
电脑提示找不到libcef.dll无法继续执行代码怎么办? libcef.dll丢失修复
在使用电脑的过程中,你可能会突然遇到诸如“找不到libcef.dll”或者“由于缺少libcef.dll,程序无法启动”之类的恼人提示,下面我们就来看看详细解决办法2025-04-23电脑提示由于找不到d3dx9_43.dll如何解决? d3dx9_43.dll文件丢失修复技
在使用Windows操作系统运行某些应用程序(尤其是游戏或图形密集型软件)时,用户可能会遇到“d3dx9_43.dll文件丢失”的错误提示,这一错误不仅影响程序的正常启动,还可能2025-04-23
在日常使用电脑的过程中,我们难免会遇到电脑无法正常启动的情况,本文将详细介绍几种常见的电脑强制开机方法,并探讨在强制开机后应注意的事项,以及如何从根本上解决电脑2025-04-16
今天我来分享一下如何用USB线把台式电脑连接到手机的网络上,其实操作非常简单,只需要几步就搞定了,让我们一起来看看吧2025-04-15
分辨率三兄弟LPI、DPI 和 PPI有什么区别? 搞清分辨率的那些事儿
分辨率这个东西,真的是让人又爱又恨,为了搞清楚它,我可是翻阅了不少资料,最后发现“小7的背包”的解释最让我茅塞顿开,于是,我决定整理一下,给大家分享一下我的理解2025-04-03
你是否曾想过,为什么键盘上的空格键有时并不能满足我们的需求?其实,空格键输入的空格分为全角和半角两种2025-03-31mss32.dll文件丢失怎么办? 电脑提示mss32.dll丢失的多种修复方法
最近,很多电脑用户可能遇到了mss32.dll文件丢失的问题,导致一些应用程序无法正常启动,那么,如何修复这个问题呢?别担心,本文将详细介绍mss32.dll文件的作用和丢失原因2025-03-26电脑提示找不到openal32.dll文件怎么办? openal32.dll丢失完美修复方法
openal32.dll是一种重要的系统文件,当它丢失时,会给我们的电脑带来很大的困扰,很多人都曾经遇到过这个问题,但你知道该如何解决吗?详细请看下文介绍2025-03-26电脑win32spl.dll文件丢失咋办? win32spl.dll丢失无法连接打印机修复技
电脑突然提示win32spl.dll文件丢失,打印机死活连不上,今天就来给大家详细讲解一下这个问题的解决方法,手把手教你如何搞定win32spl.dll丢失的问题,让你轻松恢复打印机连2025-03-26
电脑提示binkw32.dll缺失怎么办? 教你轻松解决binkw32.dll丢失问题修复
电脑上玩游戏时,突然弹出“计算机丢失binkw32.dll”的错误提示,是不是让你瞬间抓狂?别担心,今天就来手把手教你如何解决这个问题2025-03-26
最新评论