什么是蠕虫病毒?蠕虫病毒与一般的病毒有哪些区别?(什么是蠕虫病毒)
今天小饼为大家解答以下问题,关于什么是蠕虫病毒?蠕虫病毒与一般的病毒有哪些区别?,什么是蠕虫病毒很多人还不知道,现在让我们一起来看看吧!
虫子。NetKiller2003,其危害远超曾经肆虐一时的红码病毒。
感染此蠕虫后,网络带宽被大量占用,导致网络瘫痪。该蠕虫利用SQL SERVER 2000的分析端口1434的缓冲区溢出漏洞来攻击其网络。因为“2003虫王”有很强的沟通能力,
目前已在亚洲、美洲、澳洲等地迅速蔓延,造成全球网络灾难。由于1月25日适逢周末,不好的结果首先是公共互联网瘫痪,预计未来几天还会继续快速蔓延。
边肖建议您使用360免费杀毒进行查杀,然后根据查杀情况采取相应措施。蠕虫病毒传播过程
2003蠕虫病毒是一种极其罕见的蠕虫病毒,病毒体极短,但传播性极强。该蠕虫利用Microsoft SQL Server 2000的缓冲区溢出漏洞进行传播。具体展开过程如下:
病毒中有字符串' h.dllhel32hkernQhounthickChGet '' Qh32.dhws2_f '' etQhsockf '' toQhsend '此病毒利用的安全漏洞于2002年7月被发现,并在随后的MS SQL Server2000修补程序包中得到纠正。
蠕虫病毒的特征
该蠕虫攻击安装了Microsoft SQL的NT系列服务器。该病毒试图检测被攻击机器的1434/udp端口,如果检测成功,则发送376字节的蠕虫代码。
1434/udp端口是Microsoft SQL的开放端口。在未打补丁的SQL Server平台上,此端口存在缓冲区溢出漏洞,使得蠕虫的后续代码被利用。
将在受攻击的机器上运行进一步的传播。
该蠕虫入侵MS SQL Server,并在MS SQL Server 2000主程序sqlservr.exe应用程序的进程空间中运行,该应用程序具有最高级别的系统权限。
因此,该蠕虫还会获得系统级权限。被攻击的系统:没有安装MS SQL Server2000 SP3的系统。
但是由于蠕虫并没有判断是否入侵了系统,所以蠕虫造成的危害是显而易见的。反复尝试入侵会导致拒绝服务攻击,进而导致被攻击机器瘫痪。
该蠕虫利用受攻击机器中sqlsort.dll存在的缓冲区溢出漏洞进行攻击,并获得控制权。
然后分别从kernel32和ws2_32.dll中获取GetTickCount函数和socket、sendto函数地址。然后调用gettickcount函数,使用其返回值生成一个随机数种子。
并用这个种子生成一个IP地址作为攻击对象;然后创建一个UDP socket,将自己的代码发送到目标被攻击机器的1434端口,然后进入无限循环,重复上述随机数计算ip地址,发动一系列攻击。
感染蠕虫病毒后的解决方案
建议所有运行Microsoft SQL Server 2000且最近发现网络访问异常的用户遵循以下解决方案:
1.阻止外部访问UDP/1434端口。
如果很难实现这一步,可以在路由器上或系统中使用边界防火墙或TCP-IP过滤来阻止对本地UDP/1434端口的访问。
2.找到被感染的主机。
检查边界路由器(或防火墙),或启动网络监控程序(如Sniffer Pro)查找网络中向UDP/1434目的端口发送大量数据的主机,这些主机最有可能感染了蠕虫。
如果您不确定,所有运行Microsoft SQL Server 2000且没有修补程序的计算机都被视为受感染的计算机。
可以使用端口扫描器扫描UDP/1434端口来查找运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描不准确,
您可以扫描TCP/1433端口来查找运行SQL Server的主机。但是,需要注意的是,只有SQL Server 2000会被该蠕虫感染。
3.拔下受感染主机的网络电缆。
4.重新启动所有受感染的机器,从内存中删除蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。
5.插入受感染机器的网络电缆
注意:如果由于某种原因无法从网络上下载补丁,可以从其他未被感染的主机上下载补丁,刻录在光盘上或保存在其他移动介质上,然后安装在被感染的主机上。
本文讲解今天到此结束,希望对大家有所帮助。
标签: