zzy

2003蠕虫王—SQL病毒的整体解决方案
   我们建议所有运行Microsoft SQL Server 2000和遭受DoS的用户按照以下解决方法操作：

　　1.请广大用户及时升级现有的杀毒软件。

　　2.我站提供了此病毒的“专杀工具”。

　　＞＞下载瑞星公司病毒专杀工具

        ＞＞下载金山公司病毒专杀工具

　　3.特别提醒尚未感染该病毒的企业和用户及时到网址：

         http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602下载微软的漏洞补丁

         或者安装Microsoft SQL Server 2000 SP3：
         http://www.microsoft.com/sql/downloads/2000/sp3.asp 。

         4.网络管理人员请在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问。

         5.如果由于DoS导致系统反应缓慢，可先断开网络连接，然后在Windows任务管理器里面强行终止进程SqlServr.exe，在做过相应的防范措施以后在SQL Server管理器里面重新启动此服务。

          6.反病毒公司强烈建议网络管理人员检查公司服务器，打全所有系统漏洞补丁。

　

罕见的传播性超强的SQL病毒技术分析
    Worm.SQLexp.376病毒技术分析报告：

　　Worm.SQLexp.376蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播，详细传播过程如下：

　　该病毒入侵未受保护的机器后，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。

　　易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器，包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。 病毒体内存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。

　　详细信息可以参考:

　　Microsoft Security Bulletin MS02-039

　　相关的微软补丁下载地址为：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

导致互联网瘫痪的最新SQL蠕虫大揭密!
该蠕虫入侵MS SQL Server系统，运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间，而MS SQL Server 2000拥有最高级别System权限，因而该蠕虫也获得System级别权限。

　　受攻击系统：未安装MS SQL Server2000 SP3的系统

　　而由于该蠕虫并没有对自身是否已经侵入系统的判定，因而该蠕虫造成的危害是显然的，

　　不停的尝试入侵将会造成拒绝服务式攻击，从而导致被攻击机器停止服务瘫痪。

　　从昨日发现该蠕虫开始，整个Internet网络一直处于杜塞状态。

　　微软公司在2002年7月已经发现了该漏洞，并已经在后续的ServicePack补丁中修补了该漏洞，

　　相关的补丁下载地址为：

　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp

　　以及SQL Server 2000 ServicePack 3:

　　http://www.microsoft.com/sql/downloads/2000/sp3.asp

　　技术细节：

　　该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击，获得控制权。

　　随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。

　　紧接着调用 gettickcount函数，利用其返回值产生一个随机数种子，并用此种子产生一个IP地址作为攻击对象；随后创建一个UDP socket，将自身代码发送到目的被攻击机器的1434端口，随后进入一个无限循环中，重复上述产生随机数计算ip地址，发动攻击一系列动作。

　　下面是病毒代码的前一部分,它构造了一个缓冲区溢出的数据包.其中红色部分是被替换的返回地址, 而该地址0x42B0C9DC是指向sqlsort.dll中的一条指令jmp esp,因此当处理数据包的函数RET指令返回时,ESP正好指向蓝色部分(EB 0E, JMP $+0x0E),马上执行蓝色部分,接着跳转到绿色部分,开始病毒正式代码的执行.

　　00000000 04 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ................

　　00000010 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ...............

　　00000020 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ................

　　00000030 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ...............

　　00000040 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ................

　　00000050 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ...............

　　00000060 01 DC C9 B0 42 EB 0E 01 01 01 01 01 01 01 70 AE .苌癇?.......p?

　　00000070 42 01 70 AE 42 90 90 90 90 90 90 90 90 68 DC C9 B.p瓸悙悙悙悙h苌

　　00000080 B0 42 B8 01 01 01 01 31 C9 B1 18 50 E2 FD 35 01 癇?...1杀.P恺5.






--------------------------------------------------------------------------------

zzy

我觉得病毒现在可是一个很严肃的话题.人人一不小心都可以染上病毒.
我曾经见过因为病毒的原因,导致全亚洲最大的地下商业中心的财务彻底瘫痪.
呵呵.当时谁都不敢处理这件事,最后是我一个人把所有的机器都恢复正常的.(有好几十台呀).我可以说是有一半的时间都在跟病毒做斗争了.
好了,不说废话了.现在说说我是如何预防病毒的.
我的机器从来都不装杀毒软件,原因是启动和运行程序是严重影响速度.
只要我按以下的方法操作机器,我是很难中病毒的.
第一,一定不要设共享文件夹,现在流行的病毒往往与黑客程序结合,能自动扫描
网络上的所有可写资源,就算你为共享文件夹设了密码,只要知道你密码的机器染上了病毒,你也是不能幸免的.一定不要设完全共享的文件夹呀,这是我的忠告了,需要传文件的时候,宁可让对方的机器先杀毒然后设共享,也不要懒一时,将后患留给自己,要知道那时你要付出的劳动可是很多的呀.
第二,安装软件的时候最好先扫毒,如果没条件最好用信誉比较好的软件提供者,这包括有名的大网站,有经验可信赖的盗版软件供应商了.别的就先扫毒后再用吧,不要懒,否则中了木马或者流行的病毒,呵呵,等着格硬盘吧.
第三,你依靠的杀毒软件一定要是最新的了,这一点就不用多说了吧.具体用什么?
个人经验是服务器就用NORTON吧,它有查杀未知病毒的问题.个人的就是瑞星吧,
功能还是比较全面的.趋势的我觉得功能不少,但是华而不实.单机版启动杀毒,我建议用KV3000,它是我见过的更新最快最厉害的的启动杀毒软件,基本上能彻底解决你机器里的病毒.MACFEE是排名世界第一的杀毒软件,价格不菲,可能不适宜中国国情吧.
第四,小心你收到的邮件.百分之八九十的病毒都是通过邮件来传递的.现在连廉价国产的瑞星也提供了邮件防火墙.不过我个人认为,并不特别好用.其实防止邮件传播病毒最关键的问题是不让你本地的邮件帐号被所有人知道,对外的邮件帐号尽量用大网站提供的免费帐号吧,虽然费点事(需要登陆网站),但是实际上还是为你省了大事,不信你就不要按我说的做.
咳,病毒呀,病毒.....