Worm.SQLexp

  病毒名稱(中文):
  SQL蠕蟲王
  病毒別名:
  
  
  威脅級別:
  ★★★☆☆
  病毒類型:
  蠕蟲病毒
  病毒長度:
  376
  影響系統:
  Win9xWinMeWinNTWin2000WinXPWin2003
  
  病毒行爲:
  Worm.SQLexp.376蠕蟲病毒是一個極爲罕見的具有極其短小病毒體卻具有極強傳播性的蠕蟲病毒。該蠕蟲利用MicrosoftSQLServer2000緩沖區溢出漏洞進行傳播,具體傳播過程如下:
  該病毒入侵未受保護的機器後,取得三個Win32API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然後將自身代碼發送至1434端口(MicrosoftSQLServer開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發送自身代碼,每次均攻擊子網中所有255台可能存在機器。
  易受攻擊的機器類型爲所有安裝有MicrosoftSQLServer2000的NT系列服務器,包括WinNT/Win2000/WinXP等。所幸該蠕蟲並未感染或者傳播文件形式病毒體,純粹在內存中進行蔓延。病毒體內存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".該病毒利用的安全漏洞于2002年七月被發現並在隨後的MSSQLServer2000補丁包中得到修正。
  具體信息可以參考:
  MicrosoftSecurityBulletinMS02-039
  相關的微軟補丁下載地址爲:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
  該病毒入侵未受保護的機器後,取得三個Win32API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數,進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址,然後將自身代碼發送至1434端口(MicrosoftSQLServer開放端口),該蠕蟲傳播速度極快,其使用廣播數據包方式發送自身代碼,每次均攻擊子網中所有255台可能存在機器。
  易受攻擊的機器類型爲所有安裝有MicrosoftSQLServer2000的NT系列服務器,包括WinNT/Win2000/WinXP等。所幸該蠕蟲並未感染或者傳播文件形式病毒體,純粹在內存中進行蔓延。病毒體內存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".該病毒利用的安全漏洞于2002年七月被發現並在隨後的MSSQLServer2000補丁包中得到修正。
  具體信息可以參考:
  MicrosoftSecurityBulletinMS02-039
  相關的微軟補丁下載地址爲:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602