北京时间2003年01月25日中午,互联网上出现一种新型的MSSQL2000蠕虫病毒,传播速度极快,数小时内席卷了全球网络,造成公用互联网络的瘫痪,喜欢上网的朋友发现,很多他们喜欢的网站几乎全部无法访问或者访问缓慢。天天安全网管理人员曾一度认为自己服务器遭受严重的DDoS拒绝服务,询问数位朋友后,才发现并非如此简单,笔者所在的省份,全省的DNS服务器中断数小时的服务,到昨天晚11点尚未完全恢复。该病毒金山公司命名为极速漏洞王(Worm.SQLexp.376 );瑞星公司命名为2003蠕虫王(Worm.NetKiller2003);江民公司命名为SQL杀手(worm.SQL.helkerm),其危害性远远超过了肆虐一时的“红色代码”病毒,受到该蠕虫病毒攻击后网络带宽大量被占用,甚至达到90%以上,最终导致网络瘫痪严重影响数据传输。
该蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器,打了MS SQL SP3不受影响,受影响系统包括安装了:
Microsoft SQL Server 2000
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 Desktop Engine
受影响系统包括:
Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 SP5
Microsoft Windows NT 4.0 SP6
Microsoft Windows NT 4.0 SP6a
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Advanced Server S1
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP3
这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞,SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意代码。
病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server服务器的1434端口,利用SQL Server漏洞执行病毒代码,根据系统函数GetTickCount产生种子计算伪IP地址,向外部循环发送同样的数据包,造成网络数据拥塞,同时本机CPU资源99%被占用而拒绝服务。
该病毒入侵成功未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口,使用广播数据包方式发送自身代码,每次均攻击该子网中所有主机。该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延,也不对硬件产生破坏。(具体病毒分析来自金山公司)
下载瑞星公司“2003蠕虫王”病毒专杀工具 http://download.rising.com.cn/zsgj/RavNetKiller2003.exe> http://download.rising.com.cn/zsgj/RavNetKiller2003.exe
下载金山毒霸推出的Ms-SQL Server漏洞扫描工具 http://www.duba.net/download/othertools/Syspatch.zip> http://www.duba.net/download/othertools/Syspatch.zip 可以检测自己的系统是否存在漏洞,以便及时处理。
微软最新SQL Server 2000补丁包下载 http://www.microsoft.com/sql/downloads/2000/sp3.asp> http://www.microsoft.com/sql/downloads/2000/sp3.asp 请根据所安装的SQL Server 2000 语言选择相应版本下载
微软针对此安全漏洞的安全补丁 http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/
W98NT42KMeXP/ENUS/Q323875_SQL2000_SP2_en.EXE> http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/
W98NT42KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE
天天安全网给出解决办法:
1:嗅探监听(Sniffer)网络中UDP/1434端口发送大量数据的主机,找到所有安装了MSSQL2000被感染的服务器;
2:安装MSSQL 2000 SP3;
3:利用WIN2000的端口过滤功能筛选来阻塞UDP/1434端口;
4:使用软件防火墙,如黑冰(BlackICE)限制该UDP/1434端口访问;
5:最后重启服务器。
发表于 2009-2-9 12:23:53
