簡介
2003年1月25日,網際網路上出現一種新型高危蠕蟲病毒——“2003蠕蟲王”(Worm.NetKiller2003),其危害遠遠超過曾經肆虐一時的“紅色代碼”病毒。感染該蠕蟲病毒後網路頻寬被大量占用,導致網路癱瘓,該蠕蟲是利用SQL詳細
SERVER 2000 的解析連線埠1434的緩衝區溢出漏洞,對其網路進行攻擊。由於“2003蠕蟲王”具有極強的傳播能力,目前在亞洲、美洲、澳大利亞等地迅速傳播,已經造成了全球性的網路災害。由於1月25日正值周末,其造成的惡果首先表現為公用網際網路絡的癱瘓,預計在今後幾天繼續呈迅速蔓延之勢。2003年1月25日,網際網路上出現一種新型的蠕蟲病毒——“2003蠕蟲王”(Worm.NetKiller2003),此病毒的危害性遠遠超過了曾經肆虐一時的“紅色代碼”病毒。如果感染該蠕蟲病毒後網路頻寬大量被占用,最終導致網路癱瘓。該蠕蟲病毒是利用SQL SERVER 2000的解析連線埠1434的緩衝區溢出漏洞,對其網路進行攻擊的。
由於“2003蠕蟲王”病毒具有極強的傳播能力,目前在亞洲、美洲、澳大利亞等地迅速傳播,已經造成了全球性的網路災害。而由於1月25日正值周末,其造成的惡果首先表現為公用網際網路的癱瘓,預計在今後幾天繼續呈迅速蔓延之勢。
此蠕蟲病毒攻擊微軟Windows作業系統下的SQL Server 2000伺服器,受影響系統包括安裝了:
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
-Microsoft Windows NT 4.0 SP6a
-Microsoft Windows NT 4.0 SP6
-Microsoft Windows NT 4.0 SP5
-Microsoft Windows NT 4.0
-Microsoft Windows 2000 Server SP3
-Microsoft Windows 2000 Server SP2
-Microsoft Windows 2000 Server SP1
-Microsoft Windows 2000 Advanced Server SP3
-Microsoft Windows 2000 Advanced Server SP2
-Microsoft Windows 2000 Advanced Server SP1 。
這種大規模的攻擊是針對Microsoft SQL Server 2000的,利用了Microsoft SQL Server 2000服務遠程堆疊緩衝區溢出漏洞,SQL Server監聽UDP的1434連線埠,客戶端可以通過傳送訊息到這個連線埠來查詢目前可用的連線方式(連線方式可以是命名管道也可以是TCP),但是此程式存在嚴重漏洞,當客戶端傳送超長數據包時,將導致緩衝區溢出,惡意黑客利用此漏洞可以在遠程機器上執行自己準備好的惡意代碼。
病毒的具體做法是傳送包內容長度376位元組的特殊格式的UDP包到SQL Server伺服器的1434連線埠,利用SQL Server漏洞執行病毒代碼,根據系統函式GetTickCount產生種子計算偽IP位址,向外部循環傳送同樣的數據包,造成網路數據擁塞,同時本機CPU資源99%被占用,本機將拒絕服務。
瑞星公司在國內首家截獲了該病毒,在第一時間率先提供緊急升級程式,並將該病毒列為五級(最高級),提醒廣大用戶特別是企業級用戶,緊急升級以防不測。
瑞星公司針對“2003蠕蟲王”病毒的高危害性,特為廣大用戶提供了此病毒的專殺工具:
>>下載瑞星公司“2003蠕蟲王”病毒專殺工具
http://download.rising.com.cn/zsgj/RavNetKiller2003.exe 同時瑞星公司已經在瑞星公司網站上提供了針對該病毒的SQL漏洞的補丁程式,提醒尚未感染該病毒的企業和用戶及時下載。
微軟最新SQL Server 2000補丁包下載:
http://microsoft.com/sql/downloads/2000/sp3.asp
微軟針對此安全漏洞的安全補丁:
http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT42KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE