SQL殺手病毒

詳細傳播過程如下：

該病毒入侵未受保護的機器後，取得三個Win32 API地址，GetTickCount、socket、sendto，接著病毒使用GetTickCount獲得一個隨機數，進入一個死循環繼續傳播。在該循環中蠕蟲使用獲得的隨機數生成一個隨機的ip地址，然後將自身代碼傳送至1434連線埠(Microsoft SQL Server開放連線埠)，該蠕蟲傳播速度極快，其使用廣播數據包方式傳送自身代碼，每次均攻擊子網中所有255台可能存在機器。

易受攻擊的機器類型為所有安裝有Microsoft SQL Server 2000的NT系列伺服器，包括WinNT/Win2000/WinXP等。所幸該蠕蟲並未感染或者傳播檔案形式病毒體，純粹在記憶體中進行蔓延。 病毒體記憶體在字元串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".該病毒利用的安全漏洞於2002年七月被發現並在隨後的MS SQL Server2000補丁包中得到修正。

該蠕蟲攻擊安裝有Microsoft SQL 的NT系列伺服器，該病毒嘗試探測被攻擊機器的1434/udp連線埠（江民反黑王默認設定是將1434連線埠關閉，使用江民反黑王的用戶不會受到次病毒的影響），如果探測成功，則傳送376個位元組的蠕蟲代碼。1434/udp連線埠為Microsoft SQL開放連線埠。該連線埠在未打補丁的SQL Server平台上存在緩衝區溢出漏洞，使蠕蟲的後續代碼能夠得以機會在被攻擊機器上運行進一步傳播。

該蠕蟲入侵MS SQL Server系統，運行於MS SQL Server 2000主程式sqlservr.exe應用程式進程空間，而MS SQL Server 2000擁有最高級別System許可權，因而該蠕蟲也獲得System級別許可權。

受攻擊系統：未安裝MS SQL Server2000 SP3的系統

而由於該蠕蟲並沒有對自身是否已經侵入系統的判定，因而該蠕蟲造成的危害是顯然的，不停的嘗試入侵將會造成拒絕服務式攻擊，從而導致被攻擊機器停止服務癱瘓。

該蠕蟲由被攻擊機器中的sqlsort.dll存在的緩衝區溢出漏洞進行攻擊，獲得控制權。隨後分別從kernel32以及ws2_32.dll中獲得GetTickCount函式和socket以及sendto函式地址。緊接著調用 gettickcount函式，利用其返回值產生一個隨機數種子，並用此種子產生一個IP位址作為攻擊對象；隨後創建一個UDP socket，將自身代碼傳送到目的被攻擊機器的1434連線埠，隨後進入一個無限循環中，重複上述產生隨機數計算ip地址，發動攻擊一系列動作。

1、在打開江民反黑王並確認阻塞外部對內和內部對外的UDP/1434連線埠的訪問。

如果該步驟實現有困難可使用邊界防火牆或者路由器上或系統中的TCP-IP篩選來阻塞對本機UDP/1434連線埠的訪問。

2、找到被感染的主機

在邊界路由器（或者防火牆）上進行檢查，也可啟動網路監視程式（譬如Sniffer Pro）進行檢查，找到網路中往目的連線埠為UDP/1434傳送大量數據的主機，這些主機極為可能感染了該蠕蟲。

如果不能確定，則認為所有運行Microsoft SQL Server 2000 而沒有安裝補丁程式的機器都是被感染的機器。

可以使用連線埠掃描程式對UDP/1434連線埠進行掃描來找到運行Microsoft SQL Server 2000的主機，但是由於UDP連線埠掃描並不準確，可以掃描TCP/1433連線埠找到運行SQL Server的主機。但需要注意的是，只有SQL Server 2000才會受到此蠕蟲的感染。

3、拔掉被感染主機的網線。

4、重新啟動所有被感染機器，以清除記憶體中的蠕蟲。關閉SQL Server服務以防止再次被蠕蟲感染。

5、插上被感染機器的網線

6、為被感染機器安裝最新的Microsoft SQL Server 2000 Service Pack：

雖然Microsoft SQL Server 2000 SP2就已經解決了該問題，但考慮到在SP2之後又出現了一些嚴重安全問題，強烈建議安裝Microsoft SQL Server 2000 SP3。

或者至少應該下載針對該漏洞的熱修復補丁

注意：如果由於某種原因無法從網路下載補丁進行安裝，因此可以在其他未被感染的主機上下載補丁，刻錄在光碟或者保存在其他移動介質上，然後再到被感染的主機上進行安裝。