病毒名稱
Win32/SQLSlammer.Worm其它名稱
sql蠕蟲 “強風” UDP風暴病毒屬性
蠕蟲病毒危害性:高危害流行程度:高具體介紹
特徵:在Internet上大規模爆發的蠕蟲病毒最早於03年1月25日現身,之後以極快的速度在Internet 的伺服器上大面積傳播。
該蠕蟲本身很小,僅僅376個位元組。利用Microsoft SQLServer 2000 Resolution服務遠程棧緩衝區溢出漏洞。
蠕蟲利用UDP/1434連線埠,該連線埠用於SQL Server Resolution服務。當SQL Server Resolution服務在UDP 1434連線埠接收到第一個位元組設定為0x04的UDP包時,SQL監視執行緒會獲取UDP包中的數據,此時攻擊者可以通過在這個UDP包後追加大量字元串,當嘗試打開這個字元串相對應的數值時,會發生基於棧的緩衝區溢出。
當溢出成功後,蠕蟲取得系統控制權,開始向隨機IP位址傳送自身代碼,這一過程將無限循環,因此傳送的數據量非常大。極大的占用了被感染機器的系統資源及所在的網路資源。
由於蠕蟲對被感染機器本身並沒有進行寫盤、傳染檔案或向外傳送email等常規的病毒操作,因此對於感染的系統,只要重新啟動就可以清除蠕蟲,但只要漏洞存在仍然會重複感染。
--------------------------------------------------------------------------------
建議
我們建議所有運行Microsoft SQL Server 2000的用戶按照以下解決方案操作:1、在邊界防火牆或者路由器上阻塞外部對內和內部對外的UDP/1434連線埠的訪問
2、找到被感染的主機(安裝有SQL Server的系統)
可啟動網路監視程式(譬如 eID,Sniffer 等)進行檢查,找到網路中往目的連線埠為UDP/1434傳送大量數據的主機,或在邊界路由器(或者防火牆)上進行檢查。
3、將被感染的主機與網路斷開,重新引導系統(將記憶體中的蠕蟲清除)。安裝微軟提供的SQL的補丁,恢復網路連線。
建議安裝Microsoft SQL Server 2000 SP3(http://www.microsoft.com/sql/downloads/2000/sp3.asp)。
或者下載專門針對該漏洞的熱修復補丁:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
安裝完補丁後系統將不會再被此病毒感染。
附記憶體清除程式:
>> RemSlam.zip<< 下載後直接運行RemSlam.exe即可清除系統記憶體中的病毒。在清除完記憶體病毒後請安裝上面的補丁檔案。