杀毒指南

望望

请各网络用户注意清扫蠕虫病毒

2003年1月25日，互联网上出现一种新型高危蠕虫病毒——“2003蠕虫王”
(Worm.NetKiller2003)，其危害远远超过曾经肆虐一时的“红色代码”病毒。感
染该蠕虫病毒后网络带宽被大量占用，导致网络瘫痪，该蠕虫是利用SQL
SERVER 2000 的解析端口1434的缓冲区溢出漏洞，对其网络进行攻击。由于
“2003蠕虫王”具有极强的传播能力，目前在亚洲、美洲、澳大利亚等地迅速传
播，已经造成了全球性的网络灾害。由于1月25日正值周末，其造成的恶果首先
表现为公用互联网络的瘫痪，预计在今后几天继续呈迅速蔓延之势。
www.rising.com.cn 2003-1-26 16:21:00 信息源:瑞星公司

1月27日，中山大学网络中心也贴出了相关清扫通知。（详细请看
http://web.zsu.edu.cn/zdonline/msgshow.php?
bk=net&newsid=4d35cb3c06cf040bc27522eaa34e3588）

目前校园网内该蠕虫病毒还在不断蔓延，为了防止继续造成大规模的网络瘫痪，
请各安装了微软数据库MSSQL的网络用户按照如下方法清理病毒并安装漏洞补
丁：
1，把MSSQL的server程序关掉，方法是在MSSQL服务器管理器中停止掉SQL
Server服务，并取消每次开机启动MSSQL的复选筐，待安装补丁完毕再打开。
2，在这个地址下载瑞星的杀毒程序和MSSQL的补丁程序（要下载对应的语言版
本）。
杀毒：
ftp://ftp.zhuhai.zsu.edu.cn/pub/Windows/AntiVirus/Rav/RavNetKiller2003
.exe
补丁，中文版：
ftp://ftp.zhuhai.zsu.edu.cn/pub/Windows/OSEnhancement/Patch/MSSql/chs_
sql2ksp3.exe
补丁，英文版：
ftp://ftp.zhuhai.zsu.edu.cn/pub/Windows/OSEnhancement/Patch/MSSql/sql2
ksp3.exe
3，关掉网络连接或者拔开网线，使用杀毒程序检查并杀除机内蠕虫病毒，然后
安装MSSQL的补丁程序。运行了补丁程序之后，程序将会把软件包的内容解压到
硬盘中（提示用户输入目录），解压结束后，用户需手动运行该目录中
setup.bat文件以安装该补丁。

以下是一些关于该蠕虫病毒的资料：


    2003年1月25日，互联网上出现一种新型的蠕虫病毒——“2003蠕虫王”
（Worm.NetKiller2003），此病毒的危害性远远超过了曾经肆虐一时的“红色代
码”病毒。如果感染该蠕虫病毒后网络带宽大量被占用，最终导致网络瘫痪。该
蠕虫病毒是利用SQL SERVER 2000的解析端口1434的缓冲区溢出漏洞，对其网络
进行攻击的。

    由于“2003蠕虫王”病毒具有极强的传播能力，目前在亚洲、美洲、澳大利
亚等地迅速传播，已经造成了全球性的网络灾害。而由于1月25日正值周末，其
造成的恶果首先表现为公用互联网络的瘫痪，预计在今后几天继续呈迅速蔓延之
势。

    此蠕虫病毒攻击微软Windows操作系统下的SQL Server 2000服务器，受影响
系统包括安装了：
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
   -Microsoft Windows NT 4.0 SP6a
   -Microsoft Windows NT 4.0 SP6
   -Microsoft Windows NT 4.0 SP5
   -Microsoft Windows NT 4.0
   -Microsoft Windows 2000 Server SP3
   -Microsoft Windows 2000 Server SP2
   -Microsoft Windows 2000 Server SP1
   -Microsoft Windows 2000 Advanced Server SP3
   -Microsoft Windows 2000 Advanced Server SP2
   -Microsoft Windows 2000 Advanced Server SP1 。

    这种大规模的攻击是针对Microsoft SQL Server 2000的，利用了
Microsoft SQL Server 2000服务远程堆栈缓冲区溢出漏洞，SQL Server监听UDP
的1434端口，客户端可以通过发送消息到这个端口来查询目前可用的连接方式
（连接方式可以是命名管道也可以是TCP），但是此程序存在严重漏洞，当客户
端发送超长数据包时，将导致缓冲区溢出，恶意黑客利用此漏洞可以在远程机器
上执行自己准备好的恶意代码。

    病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server
服务器的1434端口，利用SQL Server漏洞执行病毒代码，根据系统函数
GetTickCount产生种子计算伪IP地址，向外部循环发送同样的数据包，造成网络
数据拥塞，同时本机CPU资源99%被占用，本机将拒绝服务。

　　瑞星公司在国内首家截获了该病毒，在第一时间率先提供紧急升级程序，并
将该病毒列为五级（最高级），提醒广大用户特别是企业级用户，紧急升级以防
不测。

    瑞星公司针对“2003蠕虫王”病毒的高危害性，特为广大用户提供了此病毒
的专杀工具：

    >>下载瑞星公司“2003蠕虫王”病毒专杀工具
http://download.rising.com.cn/zsgj/RavNetKiller2003.exe

    同时瑞星公司已经在瑞星公司网站上提供了针对该病毒的SQL漏洞的补丁程
序，提醒尚未感染该病毒的企业和用户及时下载。

微软最新SQL Server 2000补丁包下载：
http://microsoft.com/sql/downloads/2000/sp3.asp

微软针对此安全漏洞的安全补丁：
http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT4
2KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE

网络与教育技术中心
二00三年三月十二日