首頁 >常見問題 >SQL殺手蠕蟲病毒發作的特徵是什麼?

SQL殺手蠕蟲病毒發作的特徵是什麼?

烟雨青岚
烟雨青岚原創
2020-07-15 14:26:2918046瀏覽

SQL殺手蠕蟲病毒發作的特徵是:大量消耗網路頻寬。 sql殺手蠕蟲病毒不具備破壞檔案、資料的能力,主要影響就是大量消耗網路頻寬資源,使得網路癱瘓。

SQL殺手蠕蟲病毒發作的特徵是什麼?

SQL殺手蠕蟲病毒發作的特徵是:大量消耗網路頻寬

「SQL殺手」病毒(Worm .SQL.helkerm蠕蟲病毒)是個極為罕見的具​​有極度短小病毒體卻具有極強傳播性的蠕蟲病毒。此蠕蟲利用Microsoft SQL Server 2000緩衝區溢位漏洞進行傳播。

此病毒不具備破壞檔案、資料的能力,主要影響就是大量消耗網路頻寬資源,使得網路癱瘓。

該蠕蟲攻擊安裝有Microsoft SQL 的NT系列伺服器,該病毒嘗試探測被攻擊機器的1434/udp連接埠(江民反黑王預設設定是將1434連接埠關閉,使用江民反黑王的使用者不會受到次病毒的影響),如果探測成功,則發送376個位元組的蠕蟲代碼。

1434/udp埠為Microsoft SQL開放埠。

此連接埠在未修補的SQL Server平台上有緩衝區溢位漏洞,使蠕蟲的後續程式碼得以機會在被攻擊機器上執行進一步傳播。

該蠕蟲入侵MS SQL Server系統,運行於MS SQL Server 2000主程式sqlservr.exe應用程式進程空間,而MS SQL Server 2000擁有最高等級System權限,因而該蠕蟲也取得System等級權限。

受攻擊系統:未安裝MS SQL Server2000 SP3的系統

而由於該蠕蟲並沒有對自身是否已經侵入系統的判定,因而該蠕蟲造成的危害是顯然的,不停的嘗試入侵將會造成拒絕服務式攻擊,進而導致被攻擊機器停止服務癱瘓。

該蠕蟲由被攻擊機器中的sqlsort.dll存在的緩衝區溢位漏洞進行攻擊,取得控制權。

接著分別從kernel32以及ws2_32.dll取得GetTickCount函數和socket以及sendto函數位址。

緊接著呼叫gettickcount函數,利用其回傳值產生一個隨機數種子,並用此種子產生一個IP位址作為攻擊物件;

隨後建立一個UDP socket,將自身程式碼傳送到目的被攻擊機器的1434端口,隨後進入一個無限循環中,重複上述產生隨機數計算ip位址,發動攻擊一系列動作。

更多相關知識,請造訪 PHP中文網! !

以上是SQL殺手蠕蟲病毒發作的特徵是什麼?的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn