sql杀手蠕虫病毒特征是什么

蠕虫病

sql杀手蠕虫病毒利用MicrosoftSqlServer2000缓冲区溢出漏洞进行传播。那么，sql杀手蠕虫病毒特征是什么呢？小编了解到，sql杀手蠕虫病毒不具有破坏文件、数据的能力，主要影响就是大量消耗网络带宽资源，使得网络瘫痪。sql杀手蠕虫病毒特征如下：该蠕虫攻击安装有microsoftsql的nt系列服务器，该病毒尝试探测被攻击机器的1434/udp端口（江民反黑王默认设置是将1434端口关闭，使用江民反黑王的用户不会受到次病毒的影响），如果探测成功，则发送376个字节的蠕虫代码。

1434/udp端口为microsoftsql开放端口。该端口在未打补丁的SqlServer平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。该蠕虫入侵msSqlServer系统，运行于msSqlServer2000主程序sqlservr。

exe应用程序进程空间，而msSqlServer2000拥有最高级别system权限，因而该蠕虫也获得system级别权限。受攻击系统：未安装msSqlServer2000sp3的系统而由于该蠕虫并没有对自身是否已经侵入系统的判定，因而该蠕虫造成的危害是显然的，不停的尝试入侵将会造成拒绝服务式攻击，从而导致被攻击机器停止服务瘫痪。

SqlServer

该蠕虫由被攻击机器中的sqlsort。dll存在的缓冲区溢出漏洞进行攻击，获得控制权。随后分别从kernel32以及ws2_32。dll中获得gettickcount函数和socket以及sendto函数地址。

紧接着调用gettickcount函数，利用其返回值产生一个随机数种子，并用此种子产生一个ip地址作为攻击对象；随后创建一个udpsocket，将自身代码发送到目的被攻击机器的1434端口，随后进入一个无限循环中，重复上述产生随机数计算ip地址，发动攻击一系列动作。