Die Merkmale von SQL-Killer-Wurmangriffen sind: massiver Verbrauch von Netzwerkbandbreite. Der SQL-Killerwurm ist nicht in der Lage, Dateien und Daten zu zerstören. Seine Hauptauswirkung besteht darin, dass er große Mengen an Netzwerkbandbreitenressourcen verbraucht und das Netzwerk lahmlegt.
Die Merkmale des SQL-Killer-Wurmvirus sind: massiver Verbrauch von Netzwerkbandbreite
„SQL-Killer“-Virus (Wurm Der .SQL.helkerm-Wurm) ist ein äußerst seltener Wurm, der einen extrem kurzen Viruskörper hat, aber äußerst übertragbar ist. Der Wurm nutzt zur Verbreitung eine Pufferüberlauf-Schwachstelle in Microsoft SQL Server 2000 aus.
Dieser Virus ist nicht in der Lage, Dateien oder Daten zu zerstören. Seine Hauptauswirkung besteht darin, dass er große Mengen an Netzwerkbandbreitenressourcen verbraucht und das Netzwerk lahmlegt.
Der Wurm greift Server der NT-Serie an, auf denen Microsoft SQL installiert ist. Der Virus versucht, den 1434/udp-Port des angegriffenen Computers zu erkennen (die Standardeinstellung von Jiangmin Anti-Black King besteht darin, Port 1434 zu schließen und Jiangmin Anti zu verwenden). -Benutzer von Black King sind nicht vom Virus betroffen. Bei erfolgreicher Erkennung wird ein 376-Byte-Wurmcode gesendet.
1434/udp-Port ist ein offener Port für Microsoft SQL.
Dieser Port weist auf nicht gepatchten SQL Server-Plattformen eine Pufferüberlauf-Schwachstelle auf, die es dem nachfolgenden Code des Wurms ermöglicht, auf dem angegriffenen Computer zu laufen und sich weiter zu verbreiten.
Der Wurm drang in das MS SQL Server-System ein und lief im Anwendungsprozessbereich des MS SQL Server 2000-Hauptprogramms sqlservr.exe. MS SQL Server 2000 verfügt über die Systemberechtigungen der höchsten Ebene, sodass der Wurm auch Berechtigungen auf Systemebene erhielt .
Angegriffenes System: System ohne installierten MS SQL Server2000 SP3
Da der Wurm nicht erkennt, ob er in das System eingedrungen ist, ist der durch den Wurm verursachte Schaden offensichtlich Dies führt zu einem Denial-of-Service-Angriff, der dazu führt, dass die angegriffene Maschine den Dienst einstellt und lahmgelegt wird.
Der Wurm greift die Pufferüberlauf-Schwachstelle in sqlsort.dll auf dem angegriffenen Computer an und erlangt die Kontrolle.
Dann erhalten Sie die GetTickCount-Funktion sowie die Socket- und Sendto-Funktionsadressen von kernel32 bzw. ws2_32.dll.
Rufen Sie dann die Funktion gettickcount auf, generieren Sie mit ihrem Rückgabewert einen Zufallszahlen-Seed und generieren Sie mit diesem Seed eine IP-Adresse als Angriffsobjekt.
Erstellen Sie dann einen UDP-Socket und senden Sie ihn Sein eigener Code an Das Ziel ist der 1434-Port des angegriffenen Computers und tritt dann in eine Endlosschleife ein, wiederholt die oben erwähnte Generierung von Zufallszahlen, um die IP-Adresse zu berechnen, und startet eine Reihe von Angriffsaktionen.
Weitere Informationen zu diesem Thema finden Sie auf der PHP-Website für Chinesisch! !
Das obige ist der detaillierte Inhalt vonWas sind die Merkmale eines SQL-Killer-Wurmangriffs?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!
