热心网友
Worm。SQL。Helkern的病毒资料主要内容来自AVP 病毒信息 发现日期:2003年1月24日国家:未知 长度:376字节的数据流语言:英语 传播方式:Internet发作日期: 可否修复:危险等级:很高 类型:蠕虫(SQL蠕虫)工作平台:WindowsNT系列 变种:未知 别称:W32。SQLExp。Worm(Symantec),W32/SQLSlammer。worm(NAI),DDOS_SQLP1434。A(Trend), 影响效果:可影响可用网络 详细资料: 这是一个非常小(只有376字节)的Internet蠕虫,影响MicrosoftSQL服务器。该蠕虫使用了一种缓冲区溢出漏洞来进入受害者的机器。(详看下文) 当蠕虫代码进入了一个它控制的受攻击SQL服务器(利用缓冲区溢出),之后它获得3个Win32的API函数调用: GetTickCount(Kernel32。DLL) socket,sendt(WS2_32。DLL) 该蠕虫然后通过调用GetTickCount函数获得随机的计数器并且不停地循环进行传播。传播过程中,该蠕虫会把自己发送到一个随机的IP地址(依赖该随机的计数器),到MicrosoftSQL的1434端口。 该蠕虫发送多波(多点传送)数据包,意味着只用一个“send”命令攻击所有的在该子网中的255台机器。结果是这个蠕虫会一次性发送255次,这比现在任何已知的蠕虫都要快。 该蠕虫只在内存中存在,它发送自己从一台被感染的机器的内存到另一台被感染的机器的内存。该蠕虫不会留下任何额外的文件,并且在别的放面也不表明自己的存在。 在蠕虫代码(混合着蠕虫代码和数据)中有文本串可见: h。dllhel32hkernQhounthickChGet Qh32。dhws2_f etQhsockf toQhsend 附录: 缓冲区溢出: 这次使用的缓冲区溢出问题名称是: UnauthenticatedRemoteCompromiseinMSSQLServer2000 被影响的系统是: Microsoft。SQL。Server2000,包括所有的ServicePacks 该安全漏洞于2002年7月被发现,之后被修复在“MSSQLServer2000”补丁。 更多请参考: MicrosoftSecurityBulletinMS02-039 NGSSoftwareInsightSecurityResearchAdvisory 修补该漏洞的补丁在: 。