Worm.SQL.Helkern的病毒資料!
長度: 376字節的數據流 語言: 英語
傳播方式: Internet 發作日期:
可否修復: 危險等級: 很高
類型: 蠕蟲(SQL蠕蟲) 工作平台: WindowsNT系列
變種: 未知
別稱: W32.SQLExp.Worm(Symantec), W32/SQLSlammer.worm(NAI), DDOS_SQLP1434.A(Trend),
影響效果: 可影響可用網絡

詳細資料:
這是一個非常小(只有376字節)的Internet蠕蟲,影響Microsoft SQL服務器。該蠕蟲使用了一種緩衝區溢出漏洞來進入受害者的機器。(詳看下文)
當蠕蟲代碼進入了一個它控制的受攻擊SQL服務器(利用緩衝區溢出),之後它獲得3個Win32的API函數調用:
GetTickCount(Kernel32.DLL)
socket,sendt (WS2_32.DLL)
該蠕蟲然後通過調用GetTickCount函數獲得隨機的計數器並且不停地循環進行傳播。傳播過程中,該蠕蟲會把自己發送到一個隨機的IP地址(依賴該隨機的計數器),到Microsoft SQL的1434端口。
該蠕蟲發送多波(多點傳送)數據包,意味著只用一個「send」命令攻擊所有的在該子網中的255台機器。結果是這個蠕蟲會一次性發送255次,這比現在任何已知的蠕蟲都要快。
該蠕蟲只在內存中存在,它發送自己從一台被感染的機器的內存到另一台被感染的機器的內存。該蠕蟲不會留下任何額外的文件,並且在別的放面也不表明自己的存在。
在蠕蟲代碼(混合著蠕蟲代碼和數據)中有文本串可見:
h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend



附錄:
緩衝區溢出:
這次使用的緩衝區溢出問題名稱是:
Unauthenticated Remote Compromise in MS SQL Server 2000
被影響的系統是:
Microsoft.SQL.Server 2000,包括所有的Service Packs
該安全漏洞於2002年7月被發現,之後被修復在「MS SQL Server 2000」補丁。
更多請參考:
Microsoft Security Bulletin MS02-039
NGSSoftware Insight Security Research Advisory
修補該漏洞的補丁在:
http://www.microsoft.com/Downloads/Release...ReleaseID=40602

(Microsoft已無法結)煩請詢問Microsoft 0800-008-833



================

由於這個蠕蟲是無文件載體的內存蠕蟲,也不在系統留下任何後門,因此只要重新啟動,蠕蟲就會被清除,只是由於全球有大量機器被感染後在不停的掃瞄,所以可能開機後立即就被感染。而被感染後,由於資源迅速耗盡,可能進入假死狀態,影響用戶配置和更新檔操作。

同時,由於全球用戶都在通過微軟下載,微軟的網站將會很慢,有可能難以下載升級不定。用戶可以按照如下次序處理。

處理方案如下:

http://www.microsoft.com/downloads/details.aspx?FamilyID=8e2dfc8d-c20e-4446-99a9-b7f0213f8bc5&displaylang=zh-tw

 

創作者介紹
創作者 KaBagogo 的頭像
KaBagogo

真☆卡巴↘無雙↙

KaBagogo 發表在 痞客邦 留言(0) 人氣()