二手奇瑞老风云:SQLExp攻击是什么意思?

罕见的极其短小病毒SQLexp病毒技术分析报告

Worm.SQLexp.376病毒技术分析报告：

Worm.SQLexp.376蠕虫病毒是一个极为罕见的具有极其短小病毒体却具有极强传播性的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播，详细传播过程如下：

该病毒入侵未受保护的机器后，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，其使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。

易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器，包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。 病毒体内存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。

详细信息可以参考:

Microsoft Security Bulletin MS02-039

相关的微软补丁下载地址为：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

SQLExp攻击是什么攻击??
“蠕虫王”蠕虫文档:

病毒名称：Worm.SQLexp.376

危险级别：中

破坏性：中

传播速度：高

病毒特征：该蠕虫攻击安装有Microsoft SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。