蠕蟲病毒感染帶來什麼危害介紹
2003蠕蟲王”***Worm.NetKiller2003***,其危害遠遠超過曾經肆虐一時的紅色程式碼病毒。下面由小編給你做出詳細的!希望對你有幫助!
:
感染該蠕蟲病毒後網路頻寬被大量佔用,導致網路癱瘓,該蠕蟲是利用SQL SERVER 2000 的解析埠1434的緩衝區溢位漏洞,對其網路進行攻擊。由於“2003蠕蟲王”具有極強的傳播能力,目前在亞洲、美洲、澳大利亞等地迅速傳播,已經造成了全球性的網路災害。由於1月25日正值週末,其造成的惡果首先表現為公用網際網路絡的癱瘓,預計在今後幾天繼續呈迅速蔓延之勢。
2003蠕蟲病毒是一個極為罕見的具有極其短小病毒體卻具有極強傳播性的蠕蟲病毒。該蠕蟲利用Microsoft SQL Server 2000緩衝區溢位漏洞進行傳播,詳細傳播過程如下:
該病毒入侵未受保護的機器後,取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死迴圈繼續傳播。在該迴圈中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然後將自身程式碼傳送至1434埠***Microsoft SQL Server開放埠***,該蠕蟲傳播速度極快,其使用廣播資料包方式傳送自身程式碼,每次均攻擊子網中所有255臺可能存在機器。 易受攻擊的機器型別為所有安裝有Microsoft SQL Server 2000的NT系列伺服器,包括WinNT/Win2000/WinXP等。所幸該蠕蟲並未感染或者傳播檔案形式病毒體,純粹在記憶體中進行蔓延。 病毒體記憶體在字串“h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。 該病毒利用的安全漏洞於2002年七月被發現並在隨後的MS SQL Server2000補丁包中得到修正。
蠕蟲病毒的特徵:
該蠕蟲攻擊安裝有Microsoft SQL 的NT系列伺服器,該病毒嘗試探測被攻擊機器的1434/udp埠,如果探測成功,則傳送376個位元組的蠕蟲程式碼。1434/udp埠為 Microsoft SQL開放埠。該埠在未打補丁的SQL Server平臺上存在緩衝區溢位漏洞,使蠕蟲的後續程式碼能夠得以機
會在被攻擊機器上執行進一步傳播。
該蠕蟲入侵MS SQL Server系統,運行於MS SQL Server 2000主程式sqlservr.exe應用程式程序空間,而MS SQL Server 2000擁有最高級別System許可權,因而該蠕蟲也獲得System級別許可權。 受攻擊系統:未安裝MS SQL Server2000 SP3的系統
而由於該蠕蟲並沒有對自身是否已經侵入系統的判定,因而該蠕蟲造成的危害是顯然的,不停的嘗試入侵將會造成拒絕服務式攻擊,從而導致被攻擊機器停止服務癱瘓。
該蠕蟲由被攻擊機器中的sqlsort.dll存在的緩衝區溢位漏洞進行攻擊,獲得控制權。隨後分別從kernel32以及 ws2_32.dll中獲得GetTickCount函式和socket以及sendto函式地址。緊接著呼叫 gettickcount函式,利用其返回值產生一個隨機數種子,並用此種子產生一個IP地址作為攻擊物件;隨後建立一個UDP socket,將自身程式碼傳送到目的被攻擊機器的1434埠,隨後進入一個無限迴圈中,重複上述產生隨機數計算ip地址,發動攻擊一系列動作。
感染蠕蟲病毒後的解決方法:
建議所有執行Microsoft SQL Server 2000和近期發現網路訪問異常的使用者按照以下解決方案操作:
步驟1、阻塞外部對內和內部對外的UDP/1434埠的訪問。
如果該步驟實現有困難可使用邊界防火牆或者路由器上或系統中的TCP-IP篩選來阻塞對本機UDP/1434埠的訪問。
步驟2、找到被感染的主機
在邊界路由器***或者防火牆***上進行檢查,也可啟動網路監視程式***譬如Sniffer Pro***進行檢查,找到網路中往目的埠為UDP/1434傳送大量資料的主機,這些主機極為可能感染了該蠕蟲。
如果不能確定,則認為所有執行Microsoft SQL Server 2000 而沒有安裝補丁程式的機器都是被感染的機器。
可以使用埠掃描程式對UDP/1434埠進行掃描來找到執行Microsoft SQL Server 2000的主機,但是由於UDP埠掃描並不準確,可以掃描TCP/1433埠找到執行SQL Server的主機。但需要注意的是,只有SQL Server 2000才會受到此蠕蟲的感染。
步驟3、拔掉被感染主機的網線。
步驟4、重新啟動所有被感染機器,以清除記憶體中的蠕蟲。關閉SQL Server服務以防止再次被蠕蟲感染。
步驟5、插上被感染機器的網線
注意:如果由於某種原因無法從網路下載補丁進行安裝,因此可以在其他未被感染的主機上下載補丁,刻錄在光碟或者儲存在其他移動介質上,然後再到被感染的主機上進行安裝。