什么是SQL杀手蠕虫病毒发作的特征

本篇文章给大家分享的是有关什么是SQL杀手蠕虫病毒发作的特征,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

SQL杀手蠕虫病毒发作的特征是:大量消耗网络带宽。sql杀手蠕虫病毒不具有破坏文件、数据的能力,主要影响就是大量消耗网络带宽资源,使得网络瘫痪。

SQL杀手蠕虫病毒发作的特征是:大量消耗网络带宽

“SQL杀手”病毒(Worm.SQL.helkerm蠕虫病毒)是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播。

此病毒不具有破坏文件、数据的能力,主要影响就是大量消耗网络带宽资源,使得网络瘫痪。

该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口(江民反黑王默认设置是将1434端口关闭,使用江民反黑王的用户不会受到次病毒的影响),如果探测成功,则发送376个字节的蠕虫代码。

1434/udp端口为Microsoft SQL开放端口。

该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。

该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System权限,因而该蠕虫也获得System级别权限。

受攻击系统:未安装MS SQL Server2000 SP3的系统

而由于该蠕虫并没有对自身是否已经侵入系统的判定,因而该蠕虫造成的危害是显然的,不停的尝试入侵将会造成拒绝服务式攻击,从而导致被攻击机器停止服务瘫痪。

该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击,获得控制权。

随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。

紧接着调用 gettickcount函数,利用其返回值产生一个随机数种子,并用此种子产生一个IP地址作为攻击对象;

随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注