Win32/SQLSlammer.Worm
病毒名称:Win32/SQLSlammer.Worm
其它名称:sql蠕虫 “强风” UDP风暴
病毒属性:蠕虫病毒 危害性:高危害 流行程度:高
具体介绍:
特征:
在Internet上大规模爆发的蠕虫病毒最早于03年1月25日现身,之后以极快的速度在Internet 的服务器上大面积传播。
该蠕虫本身很小,仅仅376个字节。利用Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。
蠕虫利用UDP/1434端口,该端口用于SQL Server Resolution服务。当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时,SQL监视线程会获取UDP包中的数据,此时攻击者可以通过在这个UDP包后追加大量字符串,当尝试打开这个字符串相对应的数值时,会发生基于栈的缓冲区溢出。
当溢出成功后,蠕虫取得系统控制权,开始向随机IP地址发送自身代码,这一过程将无限循环,因此发送的数据量非常大。极大的占用了被感染机器的系统资源及所在的网络资源。
由于蠕虫对被感染机器本身并没有进行写盘、传染文件或向外发送email等常规的病毒操作,因此对于感染的系统,只要重新启动就可以清除蠕虫,但只要漏洞存在仍然会重复感染。
--------------------------------------------------------------------------------
我们建议所有运行Microsoft SQL Server 2000的用户按照以下解决方案操作:
1、在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问
2、找到被感染的主机(安装有SQL Server的系统)
可启动网络监视程序(譬如 eID,Sniffer 等)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,或在边界路由器(或者防火墙)上进行检查。
3、将被感染的主机与网络断开,重新引导系统(将内存中的蠕虫清除)。安装微软提供的SQL的补丁,恢复网络连接。
建议安装Microsoft SQL Server 2000 SP3(http://www.microsoft.com/sql/downloads/2000/sp3.asp)。
或者下载专门针对该漏洞的热修复补丁:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
安装完补丁后系统将不会再被此病毒感染。
附内存清除程序:
>> RemSlam.zip<< 下载后直接运行RemSlam.exe即可清除系统内存中的病毒。在清除完内存病毒后请安装上面的补丁文件。