感染该
蠕虫病毒后网络带宽被大量占用,导致网络瘫痪,该蠕虫是利用SQL SERVER 2000 的解析端口1434的缓冲区溢出漏洞,对其网络进行攻击。
2003年1月25日,互联网上出现一种新型高危
蠕虫病毒——“2003蠕虫王”(Worm.NetKiller2003),其危害远远超过曾经肆虐一时的“
红色代码”病毒。由于“2003蠕虫王”具有极强的传播能力,在亚洲、美洲、澳大利亚等地迅速传播,已经造成了全球性的网络灾害。
此
蠕虫病毒攻击
微软Windows操作系统下的SQL Server 2000服务器,受影响系统包括安装了:
Microsoft SQL Server 2000 SP2
Microsoft SQL Server 2000 SP1
Microsoft SQL Server 2000 Desktop Engine
Microsoft SQL Server 2000
-Microsoft Windows NT 4.0 SP6a
-Microsoft Windows NT 4.0 SP6
-Microsoft Windows NT 4.0 SP5
-Microsoft Windows NT 4.0
-Microsoft Windows 2000 Server SP3
-Microsoft Windows 2000 Server SP2
-Microsoft Windows 2000 Server SP1
-Microsoft Windows 2000 Advanced Server SP3
-Microsoft Windows 2000 Advanced Server SP2
-Microsoft Windows 2000 Advanced Server SP1
这种大规模的攻击是针对Microsoft SQL Server 2000的,利用了Microsoft SQL Server 2000服务远程堆栈
缓冲区溢出漏洞,SQL Server监听UDP的
1434端口,客户端可以通过发送消息到这个端口来查询可用的连接方式(连接方式可以是
命名管道也可以是TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将导致缓冲区溢出,恶意
黑客利用此漏洞可以在远程机器上执行自己准备好的
恶意代码。
病毒的具体做法是发送包内容长度376字节的特殊格式的UDP包到SQL Server服务器的
1434端口,利用SQL Server
漏洞执行病毒代码,根据系统函数GetTickCount产生种子计算伪IP地址,向外部循环发送同样的
数据包,造成网络数据拥塞,同时本机CPU资源99%被占用,本机将拒绝服务。