发信人: snaix(钝蛇)
整理人: snaix(2003-01-26 09:46:52), 站内信件
|
主要内容来自AVP
病毒信息
发现日期: 2003年1月24日 国家: 未知
长度: 376字节的数据流 语言: 英语
传播方式: Internet 发作日期:
可否修复: 危险等级: 很高
类型: 蠕虫(SQL蠕虫) 工作平台: WindowsNT系列
变种: 未知
别称: W32.SQLExp.Worm(Symantec), W32/SQLSlammer.worm(NAI), DDOS_SQLP1434.A(Trend),
影响效果: 可影响可用网络
详细资料:
这是一个非常小(只有376字节)的Internet蠕虫,影响Microsoft SQL服务器。该蠕虫使用了一种缓冲区溢出漏洞来进入受害者的机器。(详看下文)
当蠕虫代码进入了一个它控制的受攻击SQL服务器(利用缓冲区溢出),之后它获得3个Win32的API函数调用:
GetTickCount(Kernel32.DLL)
socket,sendt (WS2_32.DLL)
该蠕虫然后通过调用GetTickCount函数获得随机的计数器并且不停地循环进行传播。传播过程中,该蠕虫会把自己发送到一个随机的IP地址(依赖该随机的计数器),到Microsoft SQL的1434端口。
该蠕虫发送多波(多点传送)数据包,意味着只用一个“send”命令攻击所有的在该子网中的255台机器。结果是这个蠕虫会一次性发送255次,这比现在任何已知的蠕虫都要快。
该蠕虫只在内存中存在,它发送自己从一台被感染的机器的内存到另一台被感染的机器的内存。该蠕虫不会留下任何额外的文件,并且在别的放面也不表明自己的存在。
在蠕虫代码(混合着蠕虫代码和数据)中有文本串可见:
h.dllhel32hkernQhounthickChGet
Qh32.dhws2_f
etQhsockf
toQhsend
附录:
缓冲区溢出:
这次使用的缓冲区溢出问题名称是:
Unauthenticated Remote Compromise in MS SQL Server 2000
被影响的系统是:
Microsoft.SQL.Server 2000,包括所有的Service Packs
该安全漏洞于2002年7月被发现,之后被修复在“MS SQL Server 2000”补丁。
更多请参考:
Microsoft Security Bulletin MS02-039
NGSSoftware Insight Security Research Advisory
修补该漏洞的补丁在:
http://www.microsoft.com/Downloads/Release...ReleaseID=40602
----
我们即将孵化,却从此失去了未来……
----------------------------------------------------------------------
SnaiX[eSX] Is Here!
电脑病毒版版主 SnaiX[eSX]
欢迎访问:
金山毒霸安全资讯论坛
广州网易病毒版
如果你有任何关于病毒的问题,可以联系我
E-Mail:[email protected]
QQ:251966
只想能够努力做到我认为的好 |
|