蠕虫病毒是什么

   2003蠕虫王”(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的红色代码病毒。

  感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。

  2003蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下:

  该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。 易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。 病毒体内存在字符串“h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。 该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。

  蠕虫病毒的特征

  该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为 Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机

  会在被攻击机器上运行进一步传播。

  该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System权限,因而该蠕虫也获得System级别权限。 受攻击系统:未安装MS SQL Server2000 SP3的系统

  而由于该蠕虫并没有对自身是否已经侵入系统的判定,因而该蠕虫造成的危害是显然的,不停的尝试入侵将会造成拒绝服务式攻击,从而导致被攻击机器停止服务瘫痪。

  该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击,获得控制权。随后分别从kernel32以及 ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。紧接着调用 gettickcount函数,利用其返回值产生一个随机数种子,并用此种子产生一个IP地址作为攻击对象;随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。

  感染蠕虫病毒后的解决方法

  建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作:

  1、阻塞外部对内和内部对外的UDP/1434端口的访问。

  如果该步骤实现有困难可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。

  2、找到被感染的主机

  在边界路由器(或者防火墙)上进行检查,也可启动网络监视程序(譬如Sniffer Pro)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,这些主机极为可能感染了该蠕虫。

  如果不能确定,则认为所有运行Microsoft SQL Server 2000 而没有安装补丁程序的机器都是被感染的机器。

  可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描并不准确,可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是,只有SQL Server 2000才会受到此蠕虫的感染。

  3、拔掉被感染主机的网线。

  4、重新启动所有被感染机器,以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。

  5、插上被感染机器的网线

  注意:如果由于某种原因无法从网络下载补丁进行安装,因此可以在其他未被感染的主机上下载补丁,刻录在光盘或者保存在其他移动介质上,然后再到被感染的主机上进行安装。

时间: 2016-01-11

蠕虫病毒是什么的相关文章

蠕虫病毒的原理

如今对大家的电脑威胁最大的就属网络蠕虫病毒了!网络蠕虫病毒的危害之大简直令人吃惊,从大名鼎鼎的"爱虫"到"欢乐时光",再到"红色代码",其破坏力越来越强,因此我们有必要了解网络蠕虫病毒. 蠕虫病毒与一般的计算机病毒不同,它不采用将自身拷贝附加到其他程序中的方式来复制自己,所以在病毒中它也算是一个"另类".蠕虫病毒的破坏性很强,部分蠕虫病毒不仅可以在因特网上兴风作浪,局域网也成了它们"施展身手"的舞台――蠕虫

使用安全网关清除蠕虫病毒

自1988年出现第一个蠕虫病毒以来,计算机蠕虫病毒以其快速.多样化的传播方式不断给网络世界带来灾害.特别是网络的迅速发展令蠕虫造成的危害日益严重,造成一个谈毒色变的的网络世界. 不同于一般的病毒,蠕虫病毒以计算机为载体,复制自身在互联网环境下进行传播,蠕虫病毒的传染目标是网络上所有计算机――局域网条件下的共享文件夹.电子邮件E-mail.网络中的恶意网页.大量存在着漏洞的服务器等都成为蠕虫传播的良好途径. 首先,扫描:由蠕虫的扫描功能模块负责探测存在漏洞的主机.随机选取某一段IP地址,然后对这一

用QQ聊天工具进行传播的蠕虫病毒

北京信息安全测评中心.金山毒霸联合发布2007年6月8日热门病毒. 今日提醒用户特别注意以下病毒:"QQ尾巴"变种DS(Worm.QQTailEKS.ds)和"QQ大盗"变种WT(Win32.PSWTroj.QQPass.wt). "QQ尾巴"变种DS(Worm.QQTailEKS.ds)是一个会通过QQ发送病毒信息的蠕虫病毒. "AG特务"(Win32.Troj.AGbot)是一个会利用IRC服务器进行恶意攻击的木马病毒.

蠕虫病毒:病毒家族里古老又年轻的一员

提起蠕虫病毒,可能大家不大能说清楚它到底是一个什么样的东西,但是一提起红色代码.尼姆达.爱情后门.2003蠕虫王.冲击波.震荡波等臭名昭著的病毒,我想大家一定记忆犹新,这些病毒一旦爆发,便会全球泛滥,引起整个网络的动荡,如果你经常上网的话,很可能遭遇到它们的蹂躏. 蠕虫的产生:东风夜放花千树 蠕虫是一种比较古老的病毒,产生于上世纪七十年代,由于蠕虫病毒一开始便是根植于网络的,因此随着网络的发展,蠕虫的生命力越来越强.破坏力越来越大. 早期的蠕虫是不属于病毒的,也不具备破坏性,它只是一种网络自动工

艾妮ani蠕虫病毒解决方案

近日,一名为ANI漏洞的蠕虫病毒非常活跃(现已被国家计算机病毒应急处理中心统一命名为"艾妮").一时间,媒体争先报道,很多用户也纷纷中招,但大家都很困惑,不知道感染了这个病毒后究竟该如何处理? 虽然网络上关于这个病毒的文章很多,但大多数都停留在介绍病毒阶段,即使涉及到解决方案也只有简单几句,对那些感染该病毒的用户也只是杯水车薪. 金山毒霸反病毒工程师李铁军在自己的博客里详细地介绍了该病毒的预防及解决方案,希望能够对已经感染该病毒的用户有所帮助! 下面具体介绍下这个"艾妮&qu

国外杀软曝恶性桌面蠕虫病毒 金山毒霸已率先查杀

有媒体源引国外杀毒厂商F-Securer官方博客文章,称Windows远程桌面蠕虫morto正在传播,可能让黑客远程取得网友电脑控制权.金山毒霸在8月初已捕获该样本实施查杀,并且内置的防黑墙也可完全拦截黑客攻击. 据金山毒霸安全工程师介绍,这个被称作Morto的蠕虫病毒,是黑客攻击远程桌面服务的一种蠕虫病毒,其行为非常类似于中国黑客常用的3389批量抓鸡工具.今年8月初在中国境内已经出现该病毒,并且金山毒霸也率先实施了查杀. 图1 金山毒霸云数据库检索发现8月8日即可查杀Morto蠕虫病毒 "M

电脑杀蠕虫病毒的操作方法

蠕虫病毒是自包含的程序(或是一套程序),它能传播它自身功能的拷贝或它的某些部分到其蠕虫病毒 他的计算机系统中(通常是经过网络连接).请注意,与一般病毒不同,蠕虫不需要将其自身附着到宿主程序,有两种类型的蠕虫:主机蠕虫与网络蠕虫.主计算 机蠕虫完全包含在它们运行的计算机中,并且使用网络的连接仅将自身拷贝到其他的计算机中,主计算机蠕虫在将其自身的拷贝加入到另外的主机后,就会终止它自 身(因此在任意给定的时刻,只有一个蠕虫的拷贝运行),这种蠕虫有时也叫"野兔",蠕虫病毒一般是通过1434端口

电脑进了蠕虫病毒操作

废话不多说 直接进入正题~~~~(如果真的是蠕虫病毒的话) 1.中止进程 按"Ctrl+Alt+Del"组合键,在"Windows 任务管理器"中选择"进程"选项卡,查找"msblast.exe"(或"teekids.exe"."penis32.exe"),选中它,然后,点击下方的"结束进程"按钮. 提示:如不能运行"Windows 任务管理器",

蠕虫病毒是什么?要怎么杀?

2003蠕虫王"(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的红色代码病毒. 感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击.由于"2003蠕虫王"具有极强的传播能力,目前在亚洲.美洲.澳大利亚等地迅速传播,已经造成了全球性的网络灾害.由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势. 小编建议您使用36

iWorm蠕虫病毒怎么查杀?

  近日iWorm蠕虫病毒开始肆虐苹果电脑,那么iWorm蠕虫病毒怎么查杀呢?本文小编就来教一下大家360杀毒iWorm教程. 随着苹果OS系统用户越来越多,各种病毒蠕虫已瞄准OS系统进行攻击.10月4日早间,全球范围内有超过17000名台Mac电脑已经感染了一种被称为"iWorm"的蠕虫病毒,该蠕虫病毒专门感染OS X,目前360安全卫士Mac版已经可查杀iWorm. iWorm是OS X上不多见的几个能够广泛感染系统的蠕虫病毒.它可以打开后门,采集用户信息,并对用户进行系统远程控制