W32.SQLExp.Worm 是攻击运行Microsoft SQL服务器的儒虫病毒. 该病毒只驻留在内存中,并不读写硬盘. 金山毒霸反病毒应急处理中心提醒网络管理员检查可能存在的安全漏洞. 同时提醒各项配置以阻止来自不明主机的1434/udp通路.
这个病毒向外发送的大量的数据包,相当于充当了一个拒绝服务器.
又命名为:SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee]
类型:儒虫
感染长度:376字节
感染系统:Windows NT, Windows 2000, Windows XP
不受影响的系统:Windows 3.x, Windows 95, Windows 98, Windows Me, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
危害评估:
被感染的计算机: 超过1000台
被感染的站点: 超过10个
感染地区分布: 广
威胁程度:低
清除度:高
破坏:影响网络使用效率
端口: 1434/udp
当W32.SQLExp.Worm 感染一台机器时,它会作如下活动:
1)使用Windows API函数-GetTickCount,随机生成一个IP地址,然后向该地址发送有害数据包.
2)从一个不确定的源端口不断向在UDP端口1434的所有IP地址发送自己
-----------------------------------------------------------------
该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System权限,因而该蠕虫也获得System级别权限。
受攻击系统:未安装MS SQL Server2000 SP3的系统
而由于该蠕虫并没有对自身是否已经侵入系统的判定,因而该蠕虫造成的危害是显然的,
不停的尝试入侵将会造成拒绝服务式攻击,从而导致被攻击机器停止服务瘫痪。
从昨日发现该蠕虫开始,整个Internet网络一直处于杜塞状态。
微软公司在2002年7月已经发现了该漏洞,并已经在后续的ServicePack补丁中修补了该漏洞,
相关的补丁下载地址为:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
以及SQL Server 2000 ServicePack 3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp
技术细节:
该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击,获得控制权。
随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。
紧接着调用 gettickcount函数,利用其返回值产生一个随机数种子,并用此种子产生一个IP地址作为攻击对象;随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。