蠕虫王2003---->Worm.SQLexp.3762003年1月25日,互联网上出现一种新型蠕虫病毒——“2003蠕虫王”,
其危害远远超过曾经肆虐一时的"红色代码"病毒。感染该蠕虫病毒后网络带宽被大量占用,
导致网络瘫痪,该蠕虫是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,
对其网络进行攻击。
“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,
已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联
网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
病毒特征介绍 2003蠕虫王病毒最先于1月25日在国内被截获,它利用SQLServer2000系统的漏洞,采用“缓冲区溢出”技术,进行网络感染与网络攻击,从而对网络和服务器造成严重危害。服务器一旦被感染,病毒就开始迅速占用大量带宽,向外发送大量IP包感染其他机器,同时本机CPU资源占用达99%,导致系统异常缓慢,服务器拒绝提供服务。与传统的病毒不同,2003蠕虫王采用了与红色代码相同的传播方式,根本不通过任何磁盘、光盘等介质,直接通过网络从内存到内存传播,通过发送数据包的方式连续感染。计算机一旦感染该病毒,便成为一个新的感染源,使得该病毒可以在很短的时间内感染大批计算机。
由于该病毒传播无目的性,会导致网络严重阻塞,导致SQLServer2000服务器全面瘫痪,造成用户上网困难。必须充分运用网络杀毒软件、防火墙以及入侵检测等多种手段,才能够有效预防并清除它。
病毒的发现与清除 2003蠕虫王病毒有如下特征,如果用户发现自己的电脑上有这些特征,则很有可能中了该病毒:
1.该病毒会发送长度为376字节的特殊格式的UDP包到SQLServer服务器的1434端口,利用SQLServer的漏洞执行病毒代码,要想监测病毒攻击,只能借助一些网络监测工具。
2.该病毒会使主干网络严重阻塞,并使SQLServer2000服务器拒绝服务,表现出来的情况是用户无法登录部分网站。
用户如果在自己的计算机上发现以上全部或部分现象,则很有可能中了2003蠕虫王(Worm.netkiller2003)病毒。用户可以采用以下方法进行清除:
1.拨掉网线,给系统打上补丁。
微软系统补丁程序下载:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/mS02-039.asp。
SQLServer2000ServicePack3(SQLServer2000补丁包)下载:
http://www.microsoft.com/sql/downloads/2000/sp3.asp。
2.没有杀毒软件的用户可以用瑞星的专杀工具杀除本地内存中的2003蠕虫王病毒,下载地址为:
http://it.rising.com.cn/service/technology/tool.htm。
3.把杀毒软件升级到最新版本,然后打开内存监控,并进行全网内存杀毒。
4.有防火墙的用户可以在防火墙或路由器上设置:禁止外部对内的和内部对外的UDP/1434端口的访问。
