sql殺手蠕蟲病毒利用Microsoft SQL Server 2000緩沖區(qū)溢出漏洞進(jìn)行傳播。那么，sql殺手蠕蟲病毒特征是什么呢？

小編了解到，sql殺手蠕蟲病毒不具有破壞文件、數(shù)據(jù)的能力，主要影響就是大量消耗網(wǎng)絡(luò)帶寬資源，使得網(wǎng)絡(luò)癱瘓。

sql殺手蠕蟲病毒特征如下：

該蠕蟲攻擊安裝有microsoftsql的nt系列服務(wù)器，該病毒嘗試探測(cè)被攻擊機(jī)器的1434/udp端口（江民反黑王默認(rèn)設(shè)置是將1434端口關(guān)閉，使用江民反黑王的用戶不會(huì)受到次病毒的影響），如果探測(cè)成功，則發(fā)送376個(gè)字節(jié)的蠕蟲代碼。1434/udp端口為microsoftsql開放端口。該端口在未打補(bǔ)丁的sqlserver平臺(tái)上存在緩沖區(qū)溢出漏洞，使蠕蟲的后續(xù)代碼能夠得以機(jī)會(huì)在被攻擊機(jī)器上運(yùn)行進(jìn)一步傳播。

該蠕蟲入侵mssqlserver系統(tǒng)，運(yùn)行于mssqlserver2000主程序sqlservr.exe應(yīng)用程序進(jìn)程空間，而mssqlserver2000擁有最高級(jí)別system權(quán)限，因而該蠕蟲也獲得system級(jí)別權(quán)限。

受攻擊系統(tǒng)：未安裝mssqlserver2000sp3的系統(tǒng)

而由于該蠕蟲并沒有對(duì)自身是否已經(jīng)侵入系統(tǒng)的判定，因而該蠕蟲造成的危害是顯然的，不停的嘗試入侵將會(huì)造成拒絕服務(wù)式攻擊，從而導(dǎo)致被攻擊機(jī)器停止服務(wù)癱瘓。

該蠕蟲由被攻擊機(jī)器中的sqlsort.dll存在的緩沖區(qū)溢出漏洞進(jìn)行攻擊，獲得控制權(quán)。隨后分別從kernel32以及ws2_32.dll中獲得gettickcount函數(shù)和socket以及sendto函數(shù)地址。緊接著調(diào)用gettickcount函數(shù)，利用其返回值產(chǎn)生一個(gè)隨機(jī)數(shù)種子，并用此種子產(chǎn)生一個(gè)ip地址作為攻擊對(duì)象；隨后創(chuàng)建一個(gè)udpsocket，將自身代碼發(fā)送到目的被攻擊機(jī)器的1434端口，隨后進(jìn)入一個(gè)無(wú)限循環(huán)中，重復(fù)上述產(chǎn)生隨機(jī)數(shù)計(jì)算ip地址，發(fā)動(dòng)攻擊一系列動(dòng)作。

以上就是佰佰安全網(wǎng)為您整理的sql殺手蠕蟲病毒特征的相關(guān)介紹，希望能幫助大姐sql殺手蠕蟲病毒，同時(shí)，我們還要了解如何根據(jù)蠕蟲病毒特性進(jìn)行查殺，學(xué)習(xí)一些網(wǎng)絡(luò)病毒小知識(shí)，安全的遠(yuǎn)離蠕蟲病毒。

責(zé)任編輯:鄒蘭