Win32/SQLSlammer.Worm

病毒名稱：Win32/SQLSlammer.Worm

其它名稱：sql蠕蟲 “強風” UDP風暴

病毒屬性：蠕蟲病毒 危害性：高危害 流行程度：高

在Internet上大規模爆發的蠕蟲病毒最早於03年1月25日現身，之後以極快的速度在Internet 的伺服器上大面積傳播。

蠕蟲利用UDP/1434連線埠，該連線埠用於SQL Server Resolution服務。當SQL Server Resolution服務在UDP 1434連線埠接收到第一個位元組設定為0x04的UDP包時，SQL監視執行緒會獲取UDP包中的數據，此時攻擊者可以通過在這個UDP包後追加大量字元串，當嘗試打開這個字元串相對應的數值時，會發生基於棧的緩衝區溢出。

當溢出成功後，蠕蟲取得系統控制權，開始向隨機IP位址傳送自身代碼，這一過程將無限循環，因此傳送的數據量非常大。極大的占用了被感染機器的系統資源及所在的網路資源。

由於蠕蟲對被感染機器本身並沒有進行寫盤、傳染檔案或向外傳送email等常規的病毒操作，因此對於感染的系統，只要重新啟動就可以清除蠕蟲，但只要漏洞存在仍然會重複感染。

--------------------------------------------------------------------------------

我們建議所有運行Microsoft SQL Server 2000的用戶按照以下解決方案操作：

1、在邊界防火牆或者路由器上阻塞外部對內和內部對外的UDP/1434連線埠的訪問

2、找到被感染的主機（安裝有SQL Server的系統）

可啟動網路監視程式（譬如 eID,Sniffer 等）進行檢查，找到網路中往目的連線埠為UDP/1434傳送大量數據的主機，或在邊界路由器（或者防火牆）上進行檢查。

3、將被感染的主機與網路斷開，重新引導系統（將記憶體中的蠕蟲清除）。安裝微軟提供的SQL的補丁，恢復網路連線。

建議安裝Microsoft SQL Server 2000 SP3

或者下載專門針對該漏洞的熱修復補丁：

安裝完補丁後系統將不會再被此病毒感染。

附記憶體清除程式：

>> RemSlam.zip<< 下載後直接運行RemSlam.exe即可清除系統記憶體中的病毒。在清除完記憶體病毒後請安裝上面的補丁檔案。