什么是蠕蟲(chóng)病毒?要怎么殺?

2003蠕蟲(chóng)王”(Worm.NetKiller2003),其危害遠(yuǎn)遠(yuǎn)超過(guò)曾經(jīng)肆虐一時(shí)的紅色代碼病毒。
感染該蠕蟲(chóng)病毒后網(wǎng)絡(luò)帶寬被大量占用,導(dǎo)致網(wǎng)絡(luò)癱瘓,該蠕蟲(chóng)是利用SQL SERVER 2000 的解析端口1434的緩沖區(qū)溢出漏洞,對(duì)其網(wǎng)絡(luò)進(jìn)行攻擊。由于“2003蠕蟲(chóng)王”具有極強(qiáng)的傳播能力,目前在亞洲、美洲、澳大利亞等地迅速傳播,已經(jīng)造成了全球性的網(wǎng)絡(luò)災(zāi)害。由于1月25日正值周末,其造成的惡果首先表現(xiàn)為公用互聯(lián)網(wǎng)絡(luò)的癱瘓,預(yù)計(jì)在今后幾天繼續(xù)呈迅速蔓延之勢(shì)。
小編建議您使用360免費(fèi)殺毒進(jìn)行查殺,然后再根據(jù)查殺情況進(jìn)行相應(yīng)措施。蠕蟲(chóng)病毒傳播過(guò)程
2003蠕蟲(chóng)病毒是一個(gè)極為罕見(jiàn)的具有極其短小病毒體卻具有極強(qiáng)傳播性的蠕蟲(chóng)病毒。該蠕蟲(chóng)利用Microsoft SQL Server 2000緩沖區(qū)溢出漏洞進(jìn)行傳播,詳細(xì)傳播過(guò)程如下:
該病毒入侵未受保護(hù)的機(jī)器后,取得三個(gè)Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個(gè)隨機(jī)數(shù),進(jìn)入一個(gè)死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲(chóng)使用獲得的隨機(jī)數(shù)生成一個(gè)隨機(jī)的ip地址,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開(kāi)放端口),該蠕蟲(chóng)傳播速度極快,其使用廣播數(shù)據(jù)包方式發(fā)送自身代碼,每次均攻擊子網(wǎng)中所有255臺(tái)可能存在機(jī)器。 易受攻擊的機(jī)器類(lèi)型為所有安裝有Microsoft SQL Server 2000的NT系列服務(wù)器,包括WinNT/Win2000/WinXP等。所幸該蠕蟲(chóng)并未感染或者傳播文件形式病毒體,純粹在內(nèi)存中進(jìn)行蔓延。 病毒體內(nèi)存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend". 該病毒利用的安全漏洞于2002年七月被發(fā)現(xiàn)并在隨后的MS SQL Server2000補(bǔ)丁包中得到修正。
蠕蟲(chóng)病毒的特征
該蠕蟲(chóng)攻擊安裝有Microsoft SQL 的NT系列服務(wù)器,該病毒嘗試探測(cè)被攻擊機(jī)器的1434/udp端口,如果探測(cè)成功,則發(fā)送376個(gè)字節(jié)的蠕蟲(chóng)代碼。1434/udp端口為 Microsoft SQL開(kāi)放端口。該端口在未打補(bǔ)丁的SQL Server平臺(tái)上存在緩沖區(qū)溢出漏洞,使蠕蟲(chóng)的后續(xù)代碼能夠得以機(jī)
會(huì)在被攻擊機(jī)器上運(yùn)行進(jìn)一步傳播。
該蠕蟲(chóng)入侵MS SQL Server系統(tǒng),運(yùn)行于MS SQL Server 2000主程序sqlservr.exe應(yīng)用程序進(jìn)程空間,而MS SQL Server 2000擁有最高級(jí)別System權(quán)限,因而該蠕蟲(chóng)也獲得System級(jí)別權(quán)限。 受攻擊系統(tǒng):未安裝MS SQL Server2000 SP3的系統(tǒng)
而由于該蠕蟲(chóng)并沒(méi)有對(duì)自身是否已經(jīng)侵入系統(tǒng)的判定,因而該蠕蟲(chóng)造成的危害是顯然的,不停的嘗試入侵將會(huì)造成拒絕服務(wù)式攻擊,從而導(dǎo)致被攻擊機(jī)器停止服務(wù)癱瘓。
該蠕蟲(chóng)由被攻擊機(jī)器中的sqlsort.dll存在的緩沖區(qū)溢出漏洞進(jìn)行攻擊,獲得控制權(quán)。隨后分別從kernel32以及 ws2_32.dll中獲得GetTickCount函數(shù)和socket以及sendto函數(shù)地址。緊接著調(diào)用 gettickcount函數(shù),利用其返回值產(chǎn)生一個(gè)隨機(jī)數(shù)種子,并用此種子產(chǎn)生一個(gè)IP地址作為攻擊對(duì)象;隨后創(chuàng)建一個(gè)UDP socket,將自身代碼發(fā)送到目的被攻擊機(jī)器的1434端口,隨后進(jìn)入一個(gè)無(wú)限循環(huán)中,重復(fù)上述產(chǎn)生隨機(jī)數(shù)計(jì)算ip地址,發(fā)動(dòng)攻擊一系列動(dòng)作。
感染蠕蟲(chóng)病毒后的解決方法
建議所有運(yùn)行Microsoft SQL Server 2000和近期發(fā)現(xiàn)網(wǎng)絡(luò)訪(fǎng)問(wèn)異常的用戶(hù)按照以下解決方案操作:
1、阻塞外部對(duì)內(nèi)和內(nèi)部對(duì)外的UDP/1434端口的訪(fǎng)問(wèn)。
如果該步驟實(shí)現(xiàn)有困難可使用邊界防火墻或者路由器上或系統(tǒng)中的TCP-IP篩選來(lái)阻塞對(duì)本機(jī)UDP/1434端口的訪(fǎng)問(wèn)。
2、找到被感染的主機(jī)
在邊界路由器(或者防火墻)上進(jìn)行檢查,也可啟動(dòng)網(wǎng)絡(luò)監(jiān)視程序(譬如Sniffer Pro)進(jìn)行檢查,找到網(wǎng)絡(luò)中往目的端口為UDP/1434發(fā)送大量數(shù)據(jù)的主機(jī),這些主機(jī)極為可能感染了該蠕蟲(chóng)。
如果不能確定,則認(rèn)為所有運(yùn)行Microsoft SQL Server 2000 而沒(méi)有安裝補(bǔ)丁程序的機(jī)器都是被感染的機(jī)器。
可以使用端口掃描程序?qū)DP/1434端口進(jìn)行掃描來(lái)找到運(yùn)行Microsoft SQL Server 2000的主機(jī),但是由于UDP端口掃描并不準(zhǔn)確,可以?huà)呙鑄CP/1433端口找到運(yùn)行SQL Server的主機(jī)。但需要注意的是,只有SQL Server 2000才會(huì)受到此蠕蟲(chóng)的感染。
3、拔掉被感染主機(jī)的網(wǎng)線(xiàn)。
4、重新啟動(dòng)所有被感染機(jī)器,以清除內(nèi)存中的蠕蟲(chóng)。關(guān)閉SQL Server服務(wù)以防止再次被蠕蟲(chóng)感染。
5、插上被感染機(jī)器的網(wǎng)線(xiàn)
注意:如果由于某種原因無(wú)法從網(wǎng)絡(luò)下載補(bǔ)丁進(jìn)行安裝,因此可以在其他未被感染的主機(jī)上下載補(bǔ)丁,刻錄在光盤(pán)或者保存在其他移動(dòng)介質(zhì)上,然后再到被感染的主機(jī)上進(jìn)行安裝。
相關(guān)文章
電腦提示找不到libcef.dll無(wú)法繼續(xù)執(zhí)行代碼怎么辦? libcef.dll丟失修復(fù)
在使用電腦的過(guò)程中,你可能會(huì)突然遇到諸如“找不到libcef.dll”或者“由于缺少libcef.dll,程序無(wú)法啟動(dòng)”之類(lèi)的惱人提示,下面我們就來(lái)看看詳細(xì)解決辦法2025-04-23電腦提示由于找不到d3dx9_43.dll如何解決? d3dx9_43.dll文件丟失修復(fù)技
在使用Windows操作系統(tǒng)運(yùn)行某些應(yīng)用程序(尤其是游戲或圖形密集型軟件)時(shí),用戶(hù)可能會(huì)遇到“d3dx9_43.dll文件丟失”的錯(cuò)誤提示,這一錯(cuò)誤不僅影響程序的正常啟動(dòng),還可能2025-04-23電腦死機(jī)無(wú)反應(yīng)怎么強(qiáng)制重啟? 一文讀懂方法及注意事項(xiàng)
在日常使用電腦的過(guò)程中,我們難免會(huì)遇到電腦無(wú)法正常啟動(dòng)的情況,本文將詳細(xì)介紹幾種常見(jiàn)的電腦強(qiáng)制開(kāi)機(jī)方法,并探討在強(qiáng)制開(kāi)機(jī)后應(yīng)注意的事項(xiàng),以及如何從根本上解決電腦2025-04-16電腦如何通過(guò)數(shù)據(jù)線(xiàn)連接手機(jī)網(wǎng)絡(luò)? 電腦上網(wǎng)不再受限的技巧
今天我來(lái)分享一下如何用USB線(xiàn)把臺(tái)式電腦連接到手機(jī)的網(wǎng)絡(luò)上,其實(shí)操作非常簡(jiǎn)單,只需要幾步就搞定了,讓我們一起來(lái)看看吧2025-04-15分辨率三兄弟LPI、DPI 和 PPI有什么區(qū)別? 搞清分辨率的那些事兒
分辨率這個(gè)東西,真的是讓人又愛(ài)又恨,為了搞清楚它,我可是翻閱了不少資料,最后發(fā)現(xiàn)“小7的背包”的解釋最讓我茅塞頓開(kāi),于是,我決定整理一下,給大家分享一下我的理解2025-04-03空格符號(hào)怎么打? 全角空格和半角空格的區(qū)別介紹
你是否曾想過(guò),為什么鍵盤(pán)上的空格鍵有時(shí)并不能滿(mǎn)足我們的需求?其實(shí),空格鍵輸入的空格分為全角和半角兩種2025-03-31mss32.dll文件丟失怎么辦? 電腦提示mss32.dll丟失的多種修復(fù)方法
最近,很多電腦用戶(hù)可能遇到了mss32.dll文件丟失的問(wèn)題,導(dǎo)致一些應(yīng)用程序無(wú)法正常啟動(dòng),那么,如何修復(fù)這個(gè)問(wèn)題呢?別擔(dān)心,本文將詳細(xì)介紹mss32.dll文件的作用和丟失原因2025-03-26電腦提示找不到openal32.dll文件怎么辦? openal32.dll丟失完美修復(fù)方法
openal32.dll是一種重要的系統(tǒng)文件,當(dāng)它丟失時(shí),會(huì)給我們的電腦帶來(lái)很大的困擾,很多人都曾經(jīng)遇到過(guò)這個(gè)問(wèn)題,但你知道該如何解決嗎?詳細(xì)請(qǐng)看下文介紹2025-03-26電腦win32spl.dll文件丟失咋辦? win32spl.dll丟失無(wú)法連接打印機(jī)修復(fù)技
電腦突然提示win32spl.dll文件丟失,打印機(jī)死活連不上,今天就來(lái)給大家詳細(xì)講解一下這個(gè)問(wèn)題的解決方法,手把手教你如何搞定win32spl.dll丟失的問(wèn)題,讓你輕松恢復(fù)打印機(jī)連2025-03-26電腦提示binkw32.dll缺失怎么辦? 教你輕松解決binkw32.dll丟失問(wèn)題修復(fù)
電腦上玩游戲時(shí),突然彈出“計(jì)算機(jī)丟失binkw32.dll”的錯(cuò)誤提示,是不是讓你瞬間抓狂?別擔(dān)心,今天就來(lái)手把手教你如何解決這個(gè)問(wèn)題2025-03-26