荣光无限论坛

找回密码
注册

QQ登录

只需一步,快速开始

搜索
查看: 1656|回复: 3
收起左侧

[注意]导致互联网瘫痪的“极速漏洞王”蠕虫大揭密!

[复制链接]
发表于 2003-01-27 13:45:23 | 显示全部楼层 |阅读模式
『金山反病毒资讯网』        
  该蠕虫入侵MS SQL Server系统,运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间,而MS SQL Server 2000拥有最高级别System权限,因而该蠕虫也获得System级别权限。
  受攻击系统:未安装MS SQL Server2000 SP3的系统
  而由于该蠕虫并没有对自身是否已经侵入系统的判定,因而该蠕虫造成的危害是显然的,
  不停的尝试入侵将会造成拒绝服务式攻击,从而导致被攻击机器停止服务瘫痪。
  从昨日发现该蠕虫开始,整个Internet网络一直处于杜塞状态。
  微软公司在2002年7月已经发现了该漏洞,并已经在后续的ServicePack补丁中修补了该漏洞,
  相关的补丁下载地址为:
  http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-039.asp
  以及SQL Server 2000 ServicePack 3:
  http://www.microsoft.com/sql/downloads/2000/sp3.asp
  技术细节:
  该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击,获得控制权。
  随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。
  紧接着调用 gettickcount函数,利用其返回值产生一个随机数种子,并用此种子产生一个IP地址作为攻击对象;随后创建一个UDP socket,将自身代码发送到目的被攻击机器的1434端口,随后进入一个无限循环中,重复上述产生随机数计算ip地址,发动攻击一系列动作。
  下面是病毒代码的前一部分,它构造了一个缓冲区溢出的数据包.其中红色部分是被替换的返回地址, 而该地址0x42B0C9DC是指向sqlsort.dll中的一条指令jmp esp,因此当处理数据包的函数RET指令返回时,ESP正好指向蓝色部分(EB 0E, JMP $+0x0E),马上执行蓝色部分,接着跳转到绿色部分,开始病毒正式代码的执行.
  00000000 04 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ................
  00000010 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ...............
  00000020 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ................
  00000030 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ...............
  00000040 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ................
  00000050 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 ...............
  00000060 01 DC C9 B0 42 EB 0E 01 01 01 01 01 01 01 70 AE .苌癇?.......p?
  00000070 42 01 70 AE 42 90 90 90 90 90 90 90 90 68 DC C9 B.p瓸悙悙悙悙h苌
  00000080 B0 42 B8 01 01 01 01 31 C9 B1 18 50 E2 FD 35 01 癇?...1杀.P恺5.
 楼主| 发表于 2003-01-27 13:46:07 | 显示全部楼层

[注意]导致互联网瘫痪的“极速漏洞王”蠕虫大揭密!

“极速漏洞王”蠕虫文档:
  病毒名称:Worm.SQLexp.376
  危险级别:中
  破坏性:中
  传播速度:高
  病毒特征:该蠕虫攻击安装有Microsoft SQL 的NT系列服务器,该病毒尝试探测被攻击机器的1434/udp端口,如果探测成功,则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞,使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。

 楼主| 发表于 2003-01-27 13:46:40 | 显示全部楼层

[注意]导致互联网瘫痪的“极速漏洞王”蠕虫大揭密!

调查 美FBI密切监控网络病毒攻击并评估损害
--------------------------------------------------------------------------------
『赛迪网』        
  【赛迪网讯】据海外媒体报道,国际互联网在美东时间25日凌晨起出现网络病毒快速传播,造成互联网传输速度降慢,不少网络数据库和主机当机的现象,美国联邦调查局已经对此展开调查,了解是否背后有任何阴谋因素存在。
  九一一恐怖攻击后,美国情报单位一直在担心恐怖组织受到压制后,可能会转由与日常生活息息相关的互联网络施放病毒下手;因此今天发生的全球网际网络病毒散布事件,格外引起美国情报单位的重视。
  根据目前了解,美东时间25日清晨数小时内网络传输速度大幅降低,快速传播的病毒侵入到数字线路,并对网络浏览和电子邮件的发送造成干扰,好在于状况发生后六小时,情况已逐渐改善,受损也不严重。
  民众日常生活一早就受到影响,不少银行的自动柜员机当机,钱领不出来;联邦调查局国家基础设施保护中心、网络安全单位的专家也已经对网络服务业者提出技术建议;基本上,状况不严重,但有许多事情如果业者事先能多加防卫保护,就应可避免发生。
  不过,基本上,美国政府将今天这起网络病毒散播事件视为一次网络攻击,相关损害评估将在未来几天内完成。
  韩国、还有亚洲的泰国、日本、马来西亚、菲律宾、韩国和印度等地网络用户和新闻媒体都受到影响。

发表于 2003-01-27 18:31:16 | 显示全部楼层

[注意]导致互联网瘫痪的“极速漏洞王”蠕虫大揭密!

网络受到攻击,这是自前天许多网站上不去的原因了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表