SQL Killer ワーム攻撃の特徴は何ですか?

SQL キラー ワーム攻撃の特徴は、ネットワーク帯域幅の大量消費です。 SQL キラー ワームにはファイルやデータを破壊する機能はありませんが、主な影響はネットワーク帯域幅リソースを大量に消費し、ネットワークを麻痺させることです。

#SQL キラー ワーム ウイルスの特徴は次のとおりです: ネットワーク帯域幅の大量消費

「SQL キラー」ウイルス(ワーム .SQL.helkerm ワーム) は、ウイルス本体が非常に短いものの、非常に感染力が強い非常に珍しいワームです。このワームは、Microsoft SQL Server 2000 のバッファ オーバーフローの脆弱性を悪用して拡散します。

このウイルスにはファイルやデータを破壊する機能はありません。主な影響は、大量のネットワーク帯域幅リソースを消費し、ネットワークを麻痺させることです。

このワームは、Microsoft SQL がインストールされた NT シリーズ サーバーを攻撃し、攻撃されたマシンの 1434/udp ポートを検出しようとします (Jiangmin Anti-Black King のデフォルト設定はポート 1434 を閉じるようになっており、Jiangmin Anti を使用します) -Black King ユーザーはウイルスの影響を受けません)、検出が成功すると、376 バイトのワーム コードが送信されます。

1434/udp ポートは、Microsoft SQL 用のオープン ポートです。

このポートには、パッチが適用されていない SQL Server プラットフォーム上のバッファ オーバーフローの脆弱性があり、ワームの後続のコードが攻撃対象のマシン上で実行され、さらに拡散する可能性があります。

ワームは MS SQL Server システムに侵入し、MS SQL Server 2000 のメイン プログラム sqlservr.exe のアプリケーション プロセス スペースで実行されました。MS SQL Server 2000 は最高レベルのシステム権限を持っているため、ワームも同様に取得しました。システムレベルの権限。

攻撃を受けたシステム: MS SQL Server2000 SP3 がインストールされていないシステム

ワームはシステムに侵入したかどうかを判断しないため、ワームによって引き起こされる被害は明白であり、無視することはできません。侵入を試みるとサービス拒否攻撃が発生し、攻撃されたマシンがサービスを停止して麻痺します。

ワームは、攻撃対象マシンの sqlsort.dll のバッファ オーバーフローの脆弱性を利用して攻撃し、制御を獲得します。

次に、GetTickCount 関数とソケットおよび sendto 関数のアドレスをそれぞれ kernel32 と ws2_32.dll から取得します。

次に、gettickcount 関数を呼び出し、その戻り値を使用して乱数シードを生成し、このシードを使用して攻撃オブジェクトとして IP アドレスを生成します。

次に、UDP ソケットを作成して送信します。独自のコードを攻撃対象のマシンの 1434 ポートに設定し、無限ループに入り、上記を繰り返して乱数を生成して IP アドレスを計算し、一連の攻撃アクションを開始します。

関連知識の詳細については、

PHP 中国語 Web サイト をご覧ください。 ！

以上がSQL Killer ワーム攻撃の特徴は何ですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。