LINKS
 

 

[回首页]

Worm.SQL.Helkern 专页

一、病毒基本特性

病毒类型

普通病毒
特洛伊木马
蠕虫
恶作剧程序

病毒传播平台

WIN NT/2000/XP
Microsoft SQL服务器
IIS

病毒来源

■?

 病毒特性
Microsoft SQL Server传播
感染.COM文件
感染网络驱动器
自动攻击
驻留内存
大量发送数据包
攻击UDP 1434端口



故意破坏
影响网络使用效率
后门
重复感染
多态性
造成拒绝服务式攻击

危险系数5级

二、病毒命名对照

  命名
McAfee W32/SQLSlammer
金山 Worm.SQLexp.376

三、病毒介绍
    

  该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。

  易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。 病毒体内存在字符串"h.dllhel32hkernQhounthickChGet"、
"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".

  

四、预防及清除方法

 

本站补丁下载地址为:http://www.virusview.net/download/Q323875_SQL2000_SP2_en.EXE
国外补丁下载地址为:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
SQL Server 2000 ServicePack 3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp