久操成人,亚洲午夜免费视频,东京加勒比无码av,亚洲五月婷婷,大学生男男gay啪啪网站,狼狼色丁香久久女婷婷综合,午夜视频体验区


中國新聞社
中新網(wǎng)分類新聞查詢>>

本頁位置:首頁>>新聞大觀>>滾動新聞
放大字體  縮小字體

專家分析導(dǎo)致全球網(wǎng)絡(luò)癱瘓元兇"SQL殺手"病毒

2003年01月27日 16:01

  中新網(wǎng)1月27日電 江民反病毒專家指出日前導(dǎo)致全球網(wǎng)絡(luò)癱瘓元兇——“SQL殺手”病毒是一個罕見的病毒體極短小而傳播性極強的蠕蟲病毒。該蠕蟲利用Microsoft SQL Server 2000緩沖區(qū)溢出漏洞進(jìn)行傳播,詳細(xì)傳播過程如下:

  該病毒入侵未受保護(hù)的機器后,取得三個Win32 API地址,GetTickCount、socket、sendto,接著病毒使用GetTickCount獲得一個隨機數(shù),進(jìn)入一個死循環(huán)繼續(xù)傳播。在該循環(huán)中蠕蟲使用獲得的隨機數(shù)生成一個隨機的ip地址,然后將自身代碼發(fā)送至1434端口(Microsoft SQL Server開放端口),該蠕蟲傳播速度極快,它使用廣播數(shù)據(jù)包方式發(fā)送自身代碼,每次均攻擊子網(wǎng)中所有255臺可能存在機器。

  易受攻擊的機器類型為所有安裝有Microsoft SQL Server 2000的NT系列服務(wù)器,包括WinNT/Win2000/WinXP等。所幸該蠕蟲并未感染或者傳播文件形式病毒體,純粹在內(nèi)存中進(jìn)行蔓延。病毒體內(nèi)存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws_f"、"etQhsockf"、"toQhsend"。該病毒利用的安全漏洞于2002年7月被發(fā)現(xiàn)并在隨后的MS SQL Server2000補丁包中得到修正。

  病毒特征:

  該蠕蟲攻擊安裝有Microsoft SQL的NT系列服務(wù)器,嘗試探測被攻擊機器的1434/udp端口(江民反黑王默認(rèn)設(shè)置是將1434端口關(guān)閉,使用江民反黑王的用戶不會受到此病毒的影響),如果探測成功,則發(fā)送376個字節(jié)的蠕蟲代碼。1434/udp端口為Microsoft SQL開放端口。該端口在未打補丁的SQL Server平臺上存在緩沖區(qū)溢出漏洞,使蠕蟲的后續(xù)代碼能夠得以機會在被攻擊機器上運行進(jìn)一步傳播。

  該蠕蟲入侵MS SQL Server系統(tǒng),運行于MS SQL Server 2000主程序sqlservr.exe應(yīng)用程序進(jìn)程空間,而MS SQL Server 2000擁有最高級別System權(quán)限,因而該蠕蟲也獲得System級別權(quán)限。

  受攻擊系統(tǒng):未安裝MS SQL Server2000 SP3的系統(tǒng)而由于該蠕蟲并沒有對自身是否已經(jīng)侵入系統(tǒng)的判定,因而該蠕蟲造成的危害是顯然的,不停的嘗試入侵將會造成拒絕服務(wù)式攻擊,從而導(dǎo)致被攻擊機器停止服務(wù)及癱瘓。

  該蠕蟲由被攻擊機器中的sqlsort.dll存在的緩沖區(qū)溢出漏洞進(jìn)行攻擊,獲得控制權(quán)。隨后分別從kernel32以及ws2_32.dll中獲得GetTickCount函數(shù)和socket以及sendto函數(shù)地址。緊接著調(diào)用gettickcount函數(shù),利用其返回值產(chǎn)生一個隨機數(shù)種子,并用此種子產(chǎn)生一個IP地址作為攻擊對象;隨后創(chuàng)建一個UDP socket,將自身代碼發(fā)送到目的被攻擊機器的1434端口,隨后進(jìn)入一個無限循環(huán)中,重復(fù)上述產(chǎn)生隨機數(shù)計算ip地址,發(fā)動攻擊一系列動作。



本網(wǎng)站所刊載信息,不代表中新社觀點!】帽揪W(wǎng)站稿件,務(wù)經(jīng)書面授權(quán)。