您好,現(xiàn)在漢格來為大家解答以上的問題。蠕蟲病毒是什么波,蠕蟲病毒是什么相信很多小伙伴還不知道,現(xiàn)在讓我們一起來看看吧!
1、2003蠕蟲王”(Worm.NetKiller2003),其危害遠(yuǎn)遠(yuǎn)超過曾經(jīng)肆虐一時的紅色代碼病毒。
2、 感染該蠕蟲病毒后網(wǎng)絡(luò)帶寬被大量占用,導(dǎo)致網(wǎng)絡(luò)癱瘓,該蠕蟲是利用SQL SERVER 2000 的解析端口1434的緩沖區(qū)溢出漏洞,對其網(wǎng)絡(luò)進(jìn)行攻擊。
3、由于“2003蠕蟲王”具有極強(qiáng)的傳播能力,目前在亞洲、美洲、澳大利亞等地迅速傳播,已經(jīng)造成了全球性的網(wǎng)絡(luò)災(zāi)害。
4、由于1月25日正值周末,其造成的惡果首先表現(xiàn)為公用互聯(lián)網(wǎng)絡(luò)的癱瘓,預(yù)計在今后幾天繼續(xù)呈迅速蔓延之勢。
5、 2003蠕蟲病毒是一個極為罕見的具有極其短小病毒體卻具有極強(qiáng)傳播性的蠕蟲病毒。
6、該蠕蟲利用Microsoft SQL Server 2000緩沖區(qū)溢出漏洞進(jìn)行傳播,詳細(xì)傳播過程如下: 該病毒入侵未受保護(hù)的機(jī)器后,取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機(jī)數(shù),進(jìn)入一個死循環(huán)繼續(xù)傳播。
7、在該循環(huán)中蠕蟲使用獲得的隨機(jī)數(shù)生成一個隨機(jī)的ip地址,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,其使用廣播數(shù)據(jù)包方式發(fā)送自身代碼,每次均攻擊子網(wǎng)中所有255臺可能存在機(jī)器。
8、 易受攻擊的機(jī)器類型為所有安裝有Microsoft SQL Server 2000的NT系列服務(wù)器,包括WinNT/Win2000/WinXP等。
9、所幸該蠕蟲并未感染或者傳播文件形式病毒體,純粹在內(nèi)存中進(jìn)行蔓延。
10、 病毒體內(nèi)存在字符串“h.dllhel32hkernQhounthickChGet”、“Qh32.dhws2_f”、“etQhsockf”、“toQhsend”。
11、 該病毒利用的安全漏洞于2002年七月被發(fā)現(xiàn)并在隨后的MS SQL Server2000補(bǔ)丁包中得到修正。
12、 蠕蟲病毒的特征 該蠕蟲攻擊安裝有Microsoft SQL 的NT系列服務(wù)器,該病毒嘗試探測被攻擊機(jī)器的1434/udp端口,如果探測成功,則發(fā)送376個字節(jié)的蠕蟲代碼。
13、1434/udp端口為 Microsoft SQL開放端口。
14、該端口在未打補(bǔ)丁的SQL Server平臺上存在緩沖區(qū)溢出漏洞,使蠕蟲的后續(xù)代碼能夠得以機(jī) 會在被攻擊機(jī)器上運(yùn)行進(jìn)一步傳播。
15、 該蠕蟲入侵MS SQL Server系統(tǒng),運(yùn)行于MS SQL Server 2000主程序sqlservr.exe應(yīng)用程序進(jìn)程空間,而MS SQL Server 2000擁有最高級別System權(quán)限,因而該蠕蟲也獲得System級別權(quán)限。
16、 受攻擊系統(tǒng):未安裝MS SQL Server2000 SP3的系統(tǒng) 而由于該蠕蟲并沒有對自身是否已經(jīng)侵入系統(tǒng)的判定,因而該蠕蟲造成的危害是顯然的,不停的嘗試入侵將會造成拒絕服務(wù)式攻擊,從而導(dǎo)致被攻擊機(jī)器停止服務(wù)癱瘓。
17、 該蠕蟲由被攻擊機(jī)器中的sqlsort.dll存在的緩沖區(qū)溢出漏洞進(jìn)行攻擊,獲得控制權(quán)。
18、隨后分別從kernel32以及 ws2_32.dll中獲得GetTickCount函數(shù)和socket以及sendto函數(shù)地址。
19、緊接著調(diào)用 gettickcount函數(shù),利用其返回值產(chǎn)生一個隨機(jī)數(shù)種子,并用此種子產(chǎn)生一個IP地址作為攻擊對象;隨后創(chuàng)建一個UDP socket,將自身代碼發(fā)送到目的被攻擊機(jī)器的1434端口,隨后進(jìn)入一個無限循環(huán)中,重復(fù)上述產(chǎn)生隨機(jī)數(shù)計算ip地址,發(fā)動攻擊一系列動作。
20、 感染蠕蟲病毒后的解決方法 建議所有運(yùn)行Microsoft SQL Server 2000和近期發(fā)現(xiàn)網(wǎng)絡(luò)訪問異常的用戶按照以下解決方案操作: 阻塞外部對內(nèi)和內(nèi)部對外的UDP/1434端口的訪問。
21、 如果該步驟實現(xiàn)有困難可使用邊界防火墻或者路由器上或系統(tǒng)中的TCP-IP篩選來阻塞對本機(jī)UDP/1434端口的訪問。
22、 2、找到被感染的主機(jī) 在邊界路由器(或者防火墻)上進(jìn)行檢查,也可啟動網(wǎng)絡(luò)監(jiān)視程序(譬如Sniffer Pro)進(jìn)行檢查,找到網(wǎng)絡(luò)中往目的端口為UDP/1434發(fā)送大量數(shù)據(jù)的主機(jī),這些主機(jī)極為可能感染了該蠕蟲。
23、 如果不能確定,則認(rèn)為所有運(yùn)行Microsoft SQL Server 2000 而沒有安裝補(bǔ)丁程序的機(jī)器都是被感染的機(jī)器。
24、 可以使用端口掃描程序?qū)DP/1434端口進(jìn)行掃描來找到運(yùn)行Microsoft SQL Server 2000的主機(jī),但是由于UDP端口掃描并不準(zhǔn)確,可以掃描TCP/1433端口找到運(yùn)行SQL Server的主機(jī)。
25、但需要注意的是,只有SQL Server 2000才會受到此蠕蟲的感染。
26、 3、拔掉被感染主機(jī)的網(wǎng)線。
27、 4、重新啟動所有被感染機(jī)器,以清除內(nèi)存中的蠕蟲。
28、關(guān)閉SQL Server服務(wù)以防止再次被蠕蟲感染。
29、 5、插上被感染機(jī)器的網(wǎng)線 注意:如果由于某種原因無法從網(wǎng)絡(luò)下載補(bǔ)丁進(jìn)行安裝,因此可以在其他未被感染的主機(jī)上下載補(bǔ)丁,刻錄在光盤或者保存在其他移動介質(zhì)上,然后再到被感染的主機(jī)上進(jìn)行安裝。
本文就為大家分享到這里,希望小伙伴們會喜歡。