2003蠕虫王病毒的介绍
2003年1月25日,互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的红色代码病毒。感染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。由于“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
蠕虫王是什么病毒?
2003蠕虫王病毒
病毒会大量占用网络带宽导致网络瘫痪
2003年1月25日,互联网上出现一种新型的蠕虫病毒——“2003蠕虫王”(Worm.NetKiller2003),此病毒的危害性远远超过了曾经肆虐一时的“红色代码”病毒。如果感染该蠕虫病毒后网络带宽大量被占用,最终导致网络瘫痪。该蠕虫病毒是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击的。
由于“2003蠕虫王”病毒具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。而由于1月25日正值周末,其造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
此蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器,受影响系统包括安装了:
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
-Microsoft Windows NT 4.0 SP6a
-Microsoft Windows NT 4.0 SP6
-Microsoft Windows NT 4.0 SP5
-Microsoft Windows NT 4.0
-Microsoft Windows 2000 Server SP3
-Microsoft Windows 2000 Server SP2
-Microsoft Windows 2000 Server SP1
-Microsoft Windows 2000 Advanced Server SP3
-Microsoft Windows 2000 Advanced Server SP2
-Microsoft Windows 2000 Advanced Server SP1 。
这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了Microsoft SQL Server 2000服务远程堆栈缓冲区溢出漏洞,SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,恶意黑客利用此漏洞可以在远程机器上执行自己准备好的恶意代码。
病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server服务器的1434端口,利用SQL Server漏洞执行病毒代码,根据系统函数GetTickCount产生种子计算伪IP地址,向外部循环发送同样的数据包,造成网络数据拥塞,同时本机CPU资源99%被占用,本机将拒绝服务。
SOSO用户 2008-12-08 09:58 检举
什么是SQLExp
没事的,那个老补丁应该每台机子都打上的那,以下是分析报告(来自毒霸的): 罕见的极其短小病毒SQLexp病毒技术分析报告 2003年01月26日02:58:45 金山反病毒资讯网 Worm.SQLexp.376病毒技术分析报告: Worm.SQLexp.376蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播,详细传播过程如下: 该病毒入侵未受保护的机器后,取得三个Win32 API地址,GetTickCount、socket、sendto,接着病毒使用GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有255台可能存在机器。 易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器,包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体,纯粹在内存中进行蔓延。 病毒体内存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。 详细信息可以参考: Microsoft Security Bulletin MS02-039 相关的微软补丁下载地址为:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
SQLExp是什么
SQLExp攻击是什么攻击?
“蠕虫王”蠕虫文档:
病毒名称:Worm.SQLexp.376
危险级别:中
破坏性:中
传播速度:高
病毒特征:该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。
病毒查杀防护
1,直接下载微软指定的补丁程序 或者 安装Microsoft SQL Server 2000 SP3。
2,在防火墙或者路由器上阻塞外部对内的和内部对外的UDP/1434端口的访问。
3,如果由于DoS导致系统反映慢,可先断开连接,然后在Windows任务管理器里强行终止进程SqlServr.exe,打上相应补丁并重新启动服务.
回答补充:不必去微软官方网下载,太麻烦了。
建议您下载个“骑虎360安全卫士”。
其中有下载补丁的功能,还能伴您查杀恶意软件和流行木马。
非常好用!
如果中了终结者病毒怎么办?
1、上网监控并不需要被监视电脑安装软件的,内网监控才需要安装工作站;
2、对付ARP攻击方式监控软件的解决方法:路由绑定IP和MAC,被监视电脑安装彩影的ANTIARP,所有ARP攻击所谓监控软件就自动成废物不用管他;比如P2P终结、执法官、长角牛、聚生、幽狗、剪刀手等,这些全成废物垃圾了;360ARP火墙或瑞星等的效率太低是可能无用的哦;那些垃圾软件都是采用牺牲网络带宽为代价疯狂发送ARP攻击包的方法,所以网络经常掉线或网络瘫痪就是这个原因;
3、对付WINPCAP免费接口驱动的旁听监控软件方法:检查是否路由出来连接了一个共享式HUB(10M老式HUB),连接的方法是一头连接路由,一头连接交换机,一头连接一个管理电脑,而这个电脑就是采用WINPCAP免费教学接口做的玩具类的旁听监控软件;你只要卸掉WINPCAP驱动或去掉那个HUB,或把你的网线直接连接到出口路由,那么他们就失去了作用了;
4、值得注意的是,类似ANYVIEW(网络警)这样的网络监控软件,做成了网桥或网关模式的话,你是怎么都逃避不了被监视的了,除非你不上网;或拔掉网线;
5、假如你的网络变慢或一些应用无法用了,或P2P速度很低,是否网络莫名其妙掉线;那么你就应该检查是否ARP被攻击,是否被连接了HUB等;正被网络监控中
蠕虫王病毒
瑞星个人防火墙提示“防范2003蠕虫王攻击(1434端口)”攻击并不一定是真正的网络攻击,很多防火墙程序会将网络广播等最常见的网络访问当作攻击来提示我们并记录下来(局域网内此类的提示尤其多)。另外的“攻击”则可能是有人在扫描你计算机的端口,或者是其他人中了病毒,病毒在利用染毒的计算机扫描网络上的其他电脑。
2003蠕虫王(Worm.netkiller2003)病毒档案:
警惕程度:★★★★★
病毒类型:蠕虫病毒
传播方式:网络感染对象:网络
所以一般安装了防火墙的就不需要太担心了!
回答完毕,谢谢!
希望我的回答对你有所帮助^_^
瑞星防火墙-防范2003蠕虫王攻击(1434端口)出现的时候,我机箱内部.滴的响一下是为什么?
防火墙提示系统被攻击
常见的个人防火墙程序所谓的“攻击”并不一定是真正的网络攻击,很多防火墙程序会将网络广播等最常见的网络访问当作攻击来提示我们并记录下来(局域网内此类的提示尤其多)。另外的“攻击”则可能是有人在扫描你计算机的端口,或者是其他人中了病毒,病毒在利用染毒的计算机扫描网络上的其他电脑。
一般这种情况,只要你定期更新了系统补丁,这些所谓的“攻击”一般是不会造成任何威胁的。
个人认为防火墙程序的这种提示也是一种变相的“广告”而已--你看我多么地有用啊,功能多强大!网络上有这么多的攻击,我都替你拦截了,用我是没有错的!--要真有了攻击,它告诉你没有拦截住,你还会用它吗?
防范2003蠕虫王病毒:
1、特别提醒尚未感染该病毒的企业和用户及时到网址:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602下载微软的漏洞补丁或者安装Microsoft SQL Server 2000 SP3:
http://www.microsoft.com/sql/downloads/2000/sp3.asp。
3、如果由于DoS导致系统反应缓慢,可先断开网络连接,然后在Windows任务管理器里面强行终止进程SqlServr.exe,在做过相应的防范措施以后在SQL Server管理器里面重新启动此服务。
4、强烈建议用户检查计算机,打全所有系统漏洞补丁。
2003蠕虫王(Worm.netkiller2003)病毒档案:
警惕程度:★★★★★ 发作时间:随机 病毒类型:蠕虫病毒 传播方式:网络感染对象:网络
病毒介绍:于1月25日被瑞星公司在国内率先截获。它利用SQL Server 2000系统的漏洞,采用“缓冲区溢出”技术,进行网络感染与网络攻击,从而对网络和服务器造成严重危害。目前已在全球大面积蔓延,疯狂攻击网络,在短时间内便造成全球各大网络系统瘫痪!该病毒类似“红色代码”病毒,不通过文件、邮件等媒介,而是通过漏洞直接在内存中传播,它会制造大量伪IP地址,然后向这些地址进行攻击。由于这一病毒传播的无目的性,会导致网络严重阻塞,导致SQL Server 2000服务器全面瘫痪,造成用户上网障碍。必须充分运用网络杀毒软件、防火墙以及入侵检测等多种手段,才能够有效预防并清除危害。病毒的发现与清除:此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒:1.病毒会发送包内容长度376字节的特殊格式的UDP包到 SQLServer服务器的1434端口,利用SQL Server漏洞执行病毒代码,要想发现病毒攻击,只能借助一些网络监听工具。2.病毒会使主干网络严重阻塞,并使SQL Server 2000服务器拒绝服务,表现出来的情况是用户无法登陆部分网站。3.用户如果在自己的计算机中发现以上全部或部分现象,则很有可能中了“2003蠕虫王”(Worm.netkiller2003)病毒。
用户可以用以下方法进行清除:1.拨掉网线,给系统打补丁。补丁下载地址是:微软系统补丁程序下载:http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp SQLServer 2000 ServicePack 3:(SQL Server 2000补丁包)下载: http://www.microsoft.com/sql/downloads/2000/sp3.asp 2. 没有杀毒软件的用户可以用瑞星的专杀工具杀除本地内存中的2003蠕虫王病毒,瑞星病毒专杀工具下载地址:http://it.rising.com.cn/service/technology/tool.htm 3. 有瑞星网络版的用户请升级最新的版本,然后打开内存监控,并进行全网内存杀毒。4.有防火墙的用户可以在防火墙或者路由器上设置:禁止外部对内的和内部对外的UDP/1434端口的访问。
什么是蠕虫病毒?有什么特征?应对措施?
蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。特征:较强的独立性,可以不依赖于宿主程序而独立运行,从而主动地实施攻击;利用漏洞主动攻击;传播更快更广;更好的伪装和隐藏方式;技术更加先迸,与网页的脚本相结合,利用VBScript,Java,ActiveX等技术隐藏在HTML页面里;使追踪变得更困难。措施:选购合适的杀毒软件。杀毒软件必须向内存实时监控和邮件实时监控发展;经常升级病毒库,以便能够查杀最新的病毒;提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码;不随意查看陌生邮件,尤其是带有附件的邮件。扩展资料:原理根据蠕虫病毒的程序其工作流程可以分为漏洞扫描、攻击、传染、现场处理四个阶段。首先蠕虫程序随机(或在某种倾向性策略下)选取某一段IP地址,接着对这一地址段的主机扫描,当扫描到有漏洞的计算机系统后,将蠕虫主体迁移到目标主机。然后,蠕虫程序进入被感染的系统,对目标主机进行现场处理。同时,蠕虫程序生成多个副本,重复上述流程。各个步骤的繁简程度也不同,有的十分复杂,有的则非常简单。参考资料来源:百度百科蠕虫病毒
什么是蠕虫病毒?有什么特征?应对措施?
蠕虫是一种可以自我复制的代码,并且通过网络传播,通常无需人为干预就能传播。蠕虫病毒入侵并完全控制一台计算机之后,就会把这台机器作为宿主,进而扫描并感染其他计算机。一、特征1、较强的独立性蠕虫病毒不需要宿主程序,它是一段独立的程序或代码,因此也就避免了受宿主程序的牵制,可以不依赖于宿主程序而独立运行,从而主动地实施攻击。2、利用漏洞主动攻击由于不受宿主程序的限制,蠕虫病毒可以利用操作系统的各种漏洞进行主动攻击。3、传播更快更广蠕虫病毒比传统病毒具有更大的传染性,它不仅仅感染本地计算机,而且会以本地计算机为基础,感染网络中所有的服务器和客户端。4、使追踪变得更困难当蠕虫病毒感染了大部分系统之后,攻击者便能发动多种其他攻击方式对付一个目标站点,并通过蠕虫网络隐藏攻击者的位置,这样要抓住攻击者会非常困难。二、应对措施1、选购合适的杀毒软件。网络蠕虫病毒的发展已经使传统的杀毒软件的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮件实时监控发展。2、经常升级病毒库杀毒软件对病毒的查杀是以病毒的特征码为依据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速度快、变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒。3、提高防杀毒意识。不要轻易去点击陌生的站点,有可能里面就含有恶意代码。4、不随意查看陌生邮件,尤其是带有附件的邮件由于有的病毒邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升级ie和outlook程序,及常用的其他应用程序。最新蠕虫病毒“蒙面客”被发现,可泄漏用户隐私。扩展资料基于计算机特定算法对计算机病毒进行分类,主要病毒类型是:1、附带型病毒:通常附带于一个EXE文件上,其名称与EXE文件名相同,但扩展是不同的,一般不会破坏更改文件本身,但在DOS读取时首先激活的就是这类病毒。2、蠕虫病毒:它不会损害计算机文件和数据,它的破坏性主要取决于计算机网络的部署, 可以使用计算机网络从一个计算机存储切换到另一个计算机存储来计算网络地址来感染病毒。3、可变病毒:可以自行应用复杂的算法,很难发现,因为在另一个地方表现的内容和长度是不同的。参考资料来源:百度百科—蠕虫病毒参考资料来源:百度百科—计算机病毒
蠕虫病毒是什么
感染威金蠕虫病毒的特征(由其中之一,就有可能被威金感染):
1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)
2. 部分图标变得模糊
3. 进程里面出现例如 Logo_1.exe , 0Sy.exe、rundl132.exe(注意rundll32.exe与rundl132.exe的区别)等莫名其妙的东西
4. C盘隐藏文件出现 _desktop.ini(隐藏文件)
5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错
威金蠕虫变种BO(Worm.Viking.bo)病毒会从网上疯狂下载多个木马、QQ尾巴等安装在中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。
该病毒是集文件型病毒、蠕虫病毒、病毒下载器于一身。该病毒可以绕过一些系统还原软件,直接感染用户的计算机。目前,该病毒已在全国迅速传播。
主要症状:
1、占用大量网速,使机器使用变得极慢。
2、会捆绑所有的EXE文件,只要一运用应用程序,在winnt下的logo1.exe图标就会相应变成应用程序图标。
3、有时还会时而不时地弹出一些程序框,有时候应用程序一起动就出错,有时候起动了就被强行退出。
详细技术信息:
病毒运行后,在%Windir%生成 Logo1_.exe 同时会在windws根目录生成一个名为"virDll.dll"的文件。
%WinDir%\virDll.dll
该蠕虫会在系统注册表中生成如下键值:
[HKEY_LOCAL_MACHINE\Software\Soft\DownloadWWW]
"auto" = "1"
病毒试图登陆并盗取被感染计算机中网络游戏传奇2的密码,将游戏密码发送到该木马病毒的植入者手中。
该病毒会阻止98%的的杀毒软件的运行,包括卡八斯基,金山公司的毒霸。瑞星等。国产软件在中毒后都被病毒杀死,是病毒杀掉-杀毒软件。如金山,瑞星等。哪些软件可以认出病毒。但是认出后不久就阵亡了。
通过写入文本信息改变"%System%\drivers\etc\hosts" 文件。这就意味着,当受感染的计算机浏览许多站点时(包括众多反病毒站点),浏览器就会重定向到66.197.186.149。
病毒感染运行windows操作系统的计算机,并且通过开放的网络资源传播。一旦安装,蠕虫将会感染受感染计算机中的.exe文件。
网吧遭此病毒破坏造成大面积的卡机,瘫痪。危害程度可以和世界排名前十的爱情后门变种相比。该病毒可以通过网络传播,传播周期为3分钟。如果是新做的系统处于中了毒的网络环境内,只要那个机器一上网,3分钟内必定中招。中招后你安装 rising SkyNet Symantec McAfee Gate Rfw.exe RavMon.exe kill NAV 等杀毒软件 都无法补救你的系统,病毒文件 Logo1_.exe 为主体病毒,他自动生成病毒发作所需要的的 SWS32.DLL SWS.DLLL KILL.EXE 等文件。这些文件一但衍生。他将迅速感染系统内EXPLORE 等系统核心进程 及所以.exe 的可执行文件,外观典型表现症状为 传奇 ,泡泡堂,等游戏图标变色。 此时系统资源可用率极低,你每重新启动一次,病毒就会发作一次。
什么是蠕虫病毒?
蠕虫病毒是一种常见的计算机病毒。它是利用网络进行复制和传播,传染途径是通过网络和电子邮件。最初的蠕虫病毒定义是因为在DOS环境下,病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。
蠕虫病毒是将自己包含的程序(或一套程序),它利用网络复制和传播它自身的功能,或拷贝它的某些部分到其他的计算机系统中。而且蠕虫病毒与一般病毒程序不同,蠕虫病毒不需要将其自身的程序附着到宿主程序上,蠕虫病毒一般是通过1434端口漏洞传播。
比如近些年危害很大的"尼姆亚"病毒就是蠕虫病毒的一种,2007年1月流行的"熊猫烧香"以及其变种也是蠕虫病毒。计算机感染上蠕虫病毒后,会不断的进行自动拨号上网,并利用文件中的地址信息或者网络共享进行传播,并最终达成破坏计算机等终端用户大量重要数据的目的
