什么是蠕虫病毒计算机（什么是蠕虫病毒）

大家好，小杨来为大家解答以上问题，什么是蠕虫病毒计算机，什么是蠕虫病毒很多人还不知道，现在让我们一起来看看吧！

1、感染此蠕虫后，网络带宽被大量占用，导致网络瘫痪。该蠕虫利用SQL SERVER 2000的分析端口1434的缓冲区溢出漏洞来攻击其网络。因为“2003虫王”有很强的沟通能力，

2、目前已在亚洲、美洲、澳洲等地迅速蔓延，造成全球网络灾难。由于1月25日适逢周末，不好的结果首先是公共互联网瘫痪，预计未来几天还会继续快速蔓延。

3、边肖建议您使用360免费杀毒进行查杀，然后根据查杀情况采取相应措施。蠕虫病毒传播过程

4、2003蠕虫病毒是一种极其罕见的蠕虫病毒，病毒体极短，但传播性极强。该蠕虫利用Microsoft SQL Server 2000的缓冲区溢出漏洞进行传播。具体展开过程如下：

5、病毒中有字符串' h.dllhel32hkernQhounthickChGet '' Qh32.dhws2_f '' etQhsockf '' toQhsend '此病毒利用的安全漏洞于2002年7月被发现，并在随后的MS SQL Server2000修补程序包中得到纠正。

6、蠕虫病毒的特征

7、该蠕虫攻击安装了Microsoft SQL的NT系列服务器。该病毒试图检测被攻击机器的1434/udp端口，如果检测成功，则发送376字节的蠕虫代码。

8、1434/udp端口是Microsoft SQL的开放端口。该端口在未修补的SQL Server平台上存在缓冲区溢出漏洞，使得蠕虫的后续代码被利用。

9、将在受攻击的机器上运行进一步的传播。

10、该蠕虫入侵MS SQL Server，并在MS SQL Server 2000主程序sqlservr.exe应用程序的进程空间中运行，该应用程序具有最高级别的系统权限。

11、因此，该蠕虫还会获得系统级权限。被攻击的系统：没有安装MS SQL Server2000 SP3的系统。

12、但是由于蠕虫并没有判断是否入侵了系统，所以蠕虫造成的危害是显而易见的。反复尝试入侵会导致拒绝服务攻击，进而导致被攻击机器瘫痪。

13、该蠕虫利用受攻击机器中sqlsort.dll存在的缓冲区溢出漏洞进行攻击，并获得控制权。

14、然后分别从kernel32和ws2_32.dll中获取GetTickCount函数和socket、sendto函数地址。然后调用gettickcount函数，使用其返回值生成一个随机数种子。

15、并用这个种子生成一个IP地址作为攻击对象；然后创建一个UDP socket，将自己的代码发送到目标被攻击机器的1434端口，然后进入无限循环，重复上述随机数计算ip地址，发动一系列攻击。

16、感染蠕虫病毒后的解决方案

17、建议所有运行Microsoft SQL Server 2000且最近发现网络访问异常的用户遵循以下解决方案：

18、阻止外部访问UDP/1434端口。

19、如果很难实现这一步，可以在路由器上或系统中使用边界防火墙或TCP-IP过滤来阻止对本地UDP/1434端口的访问。

20、找到被感染的主机

21、在边界路由器(或者防火墙)上进行检查，也可启动网络监视程序(譬如Sniffer Pro)进行检查，找到网络中往目的端口为UDP/1434发送大量数据的主机，这些主机极为可能感染了该蠕虫。

22、如果不能确定，则认为所有运行Microsoft SQL Server 2000 而没有安装补丁程序的机器都是被感染的机器。

23、可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机，但是由于UDP端口扫描并不准确，

24、可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是，只有SQL Server 2000才会受到此蠕虫的感染。

25、拔掉被感染主机的网线。

26、重新启动所有被感染机器，以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。

27、插上被感染机器的网线

28、注意：如果由于某种原因无法从网络下载补丁进行安装，因此可以在其他未被感染的主机上下载补丁，刻录在光盘或者保存在其他移动介质上，然后再到被感染的主机上进行安装。

本文到此结束，希望对大家有所帮助。