SQL殺手蠕蟲病毒發作的特徵是:大量消耗網路頻寬。 sql殺手蠕蟲病毒不具備破壞檔案、資料的能力,主要影響就是大量消耗網路頻寬資源,使得網路癱瘓。
SQL殺手蠕蟲病毒發作的特徵是:大量消耗網路頻寬
「SQL殺手」病毒(Worm .SQL.helkerm蠕蟲病毒)是個極為罕見的具有極度短小病毒體卻具有極強傳播性的蠕蟲病毒。此蠕蟲利用Microsoft SQL Server 2000緩衝區溢位漏洞進行傳播。
此病毒不具備破壞檔案、資料的能力,主要影響就是大量消耗網路頻寬資源,使得網路癱瘓。
該蠕蟲攻擊安裝有Microsoft SQL 的NT系列伺服器,該病毒嘗試探測被攻擊機器的1434/udp連接埠(江民反黑王預設設定是將1434連接埠關閉,使用江民反黑王的使用者不會受到次病毒的影響),如果探測成功,則發送376個位元組的蠕蟲代碼。
1434/udp埠為Microsoft SQL開放埠。
此連接埠在未修補的SQL Server平台上有緩衝區溢位漏洞,使蠕蟲的後續程式碼得以機會在被攻擊機器上執行進一步傳播。
該蠕蟲入侵MS SQL Server系統,運行於MS SQL Server 2000主程式sqlservr.exe應用程式進程空間,而MS SQL Server 2000擁有最高等級System權限,因而該蠕蟲也取得System等級權限。
受攻擊系統:未安裝MS SQL Server2000 SP3的系統
而由於該蠕蟲並沒有對自身是否已經侵入系統的判定,因而該蠕蟲造成的危害是顯然的,不停的嘗試入侵將會造成拒絕服務式攻擊,進而導致被攻擊機器停止服務癱瘓。
該蠕蟲由被攻擊機器中的sqlsort.dll存在的緩衝區溢位漏洞進行攻擊,取得控制權。
接著分別從kernel32以及ws2_32.dll取得GetTickCount函數和socket以及sendto函數位址。
緊接著呼叫gettickcount函數,利用其回傳值產生一個隨機數種子,並用此種子產生一個IP位址作為攻擊物件;
隨後建立一個UDP socket,將自身程式碼傳送到目的被攻擊機器的1434端口,隨後進入一個無限循環中,重複上述產生隨機數計算ip位址,發動攻擊一系列動作。
更多相關知識,請造訪 PHP中文網! !
以上是SQL殺手蠕蟲病毒發作的特徵是什麼?的詳細內容。更多資訊請關注PHP中文網其他相關文章!