望望 发表于 2003-3-12 12:47:22

杀毒指南

请各网络用户注意清扫蠕虫病毒

2003年1月25日,互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”
(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的“红色代码”病毒。感
染该蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL
SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。由于
“2003蠕虫王”具有极强的传播能力,目前在亚洲、美洲、澳大利亚等地迅速传
播,已经造成了全球性的网络灾害。由于1月25日正值周末,其造成的恶果首先
表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之势。
www.rising.com.cn 2003-1-26 16:21:00 信息源:瑞星公司

1月27日,中山大学网络中心也贴出了相关清扫通知。(详细请看
http://web.zsu.edu.cn/zdonline/msgshow.php?
bk=net&newsid=4d35cb3c06cf040bc27522eaa34e3588)

目前校园网内该蠕虫病毒还在不断蔓延,为了防止继续造成大规模的网络瘫痪,
请各安装了微软数据库MSSQL的网络用户按照如下方法清理病毒并安装漏洞补
丁:
1,把MSSQL的server程序关掉,方法是在MSSQL服务器管理器中停止掉SQL
Server服务,并取消每次开机启动MSSQL的复选筐,待安装补丁完毕再打开。
2,在这个地址下载瑞星的杀毒程序和MSSQL的补丁程序(要下载对应的语言版
本)。
杀毒:
ftp://ftp.zhuhai.zsu.edu.cn/pub/Windows/AntiVirus/Rav/RavNetKiller2003
.exe
补丁,中文版:
ftp://ftp.zhuhai.zsu.edu.cn/pub/Windows/OSEnhancement/Patch/MSSql/chs_
sql2ksp3.exe
补丁,英文版:
ftp://ftp.zhuhai.zsu.edu.cn/pub/Windows/OSEnhancement/Patch/MSSql/sql2
ksp3.exe
3,关掉网络连接或者拔开网线,使用杀毒程序检查并杀除机内蠕虫病毒,然后
安装MSSQL的补丁程序。运行了补丁程序之后,程序将会把软件包的内容解压到
硬盘中(提示用户输入目录),解压结束后,用户需手动运行该目录中
setup.bat文件以安装该补丁。

以下是一些关于该蠕虫病毒的资料:


    2003年1月25日,互联网上出现一种新型的蠕虫病毒——“2003蠕虫王”
(Worm.NetKiller2003),此病毒的危害性远远超过了曾经肆虐一时的“红色代
码”病毒。如果感染该蠕虫病毒后网络带宽大量被占用,最终导致网络瘫痪。该
蠕虫病毒是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞,对其网络
进行攻击的。

    由于“2003蠕虫王”病毒具有极强的传播能力,目前在亚洲、美洲、澳大利
亚等地迅速传播,已经造成了全球性的网络灾害。而由于1月25日正值周末,其
造成的恶果首先表现为公用互联网络的瘫痪,预计在今后几天继续呈迅速蔓延之
势。

    此蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器,受影响
系统包括安装了:
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
   -Microsoft Windows NT 4.0 SP6a
   -Microsoft Windows NT 4.0 SP6
   -Microsoft Windows NT 4.0 SP5
   -Microsoft Windows NT 4.0
   -Microsoft Windows 2000 Server SP3
   -Microsoft Windows 2000 Server SP2
   -Microsoft Windows 2000 Server SP1
   -Microsoft Windows 2000 Advanced Server SP3
   -Microsoft Windows 2000 Advanced Server SP2
   -Microsoft Windows 2000 Advanced Server SP1 。

    这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了
Microsoft SQL Server 2000服务远程堆栈缓冲区溢出漏洞,SQL Server监听UDP
的1434端口,客户端可以通过发送消息到这个端口来查询目前可用的连接方式
(连接方式可以是命名管道也可以是TCP),但是此程序存在严重漏洞,当客户
端发送超长数据包时,将导致缓冲区溢出,恶意黑客利用此漏洞可以在远程机器
上执行自己准备好的恶意代码。

    病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server
服务器的1434端口,利用SQL Server漏洞执行病毒代码,根据系统函数
GetTickCount产生种子计算伪IP地址,向外部循环发送同样的数据包,造成网络
数据拥塞,同时本机CPU资源99%被占用,本机将拒绝服务。

  瑞星公司在国内首家截获了该病毒,在第一时间率先提供紧急升级程序,并
将该病毒列为五级(最高级),提醒广大用户特别是企业级用户,紧急升级以防
不测。

    瑞星公司针对“2003蠕虫王”病毒的高危害性,特为广大用户提供了此病毒
的专杀工具:

    >>下载瑞星公司“2003蠕虫王”病毒专杀工具
http://download.rising.com.cn/zsgj/RavNetKiller2003.exe

    同时瑞星公司已经在瑞星公司网站上提供了针对该病毒的SQL漏洞的补丁程
序,提醒尚未感染该病毒的企业和用户及时下载。

微软最新SQL Server 2000补丁包下载:
http://microsoft.com/sql/downloads/2000/sp3.asp

微软针对此安全漏洞的安全补丁:
http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT4
2KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE

网络与教育技术中心
二00三年三月十二日
页: [1]
查看完整版本: 杀毒指南