W32.SQLExp.Worm 是攻擊運行Microsoft SQL服務器的儒蟲病毒. 該病毒只駐留在內存中,并不讀寫硬盤. 金山毒霸反病毒應急處理中心提醒網絡管理員檢查可能存在的安全漏洞. 同時提醒各項配置以阻止來自不明主機的1434/udp通路.
這個病毒向外發送的大量的數據包,相當于充當了一個拒絕服務器.
又命名為:SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee]
類型:儒蟲
感染長度:376字節
感染系統:Windows NT, Windows 2000, Windows XP
不受影響的系統:Windows 3.x, Windows 95, Windows 98, Windows Me, Microsoft IIS, Macintosh, OS/2, UNIX, Linux
危害評估:
被感染的計算機: 超過1000臺
被感染的站點: 超過10個
感染地區分布: 廣
威脅程度:低
清除度:高
破壞:影響網絡使用效率
端口: 1434/udp
當W32.SQLExp.Worm 感染一臺機器時,它會作如下活動:
1)使用Windows API函數-GetTickCount,隨機生成一個IP地址,然后向該地址發送有害數據包.
2)從一個不確定的源端口不斷向在UDP端口1434的所有IP地址發送自己
-----------------------------------------------------------------
該蠕蟲入侵MS SQL Server系統,運行于MS SQL Server 2000主程序sqlservr.exe應用程序進程空間,而MS SQL Server 2000擁有最高級別System權限,因而該蠕蟲也獲得System級別權限。
受攻擊系統:未安裝MS SQL Server2000 SP3的系統
而由于該蠕蟲并沒有對自身是否已經侵入系統的判定,因而該蠕蟲造成的危害是顯然的,
不停的嘗試入侵將會造成拒絕服務式攻擊,從而導致被攻擊機器停止服務癱瘓。
從昨日發現該蠕蟲開始,整個Internet網絡一直處于杜塞狀態。
微軟公司在2002年7月已經發現了該漏洞,并已經在后續的ServicePack補丁中修補了該漏洞,
相關的補丁下載地址為:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
以及SQL Server 2000 ServicePack 3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp
技術細節:
該蠕蟲由被攻擊機器中的sqlsort.dll存在的緩沖區溢出漏洞進行攻擊,獲得控制權。
隨后分別從kernel32以及ws2_32.dll中獲得GetTickCount函數和socket以及sendto函數地址。
緊接著調用 gettickcount函數,利用其返回值產生一個隨機數種子,并用此種子產生一個IP地址作為攻擊對象;隨后創建一個UDP socket,將自身代碼發送到目的被攻擊機器的1434端口,隨后進入一個無限循環中,重復上述產生隨機數計算ip地址,發動攻擊一系列動作。
