当前位置:>>
首页
>> 病毒信息 >> 正文
江民:“SQL杀手”病毒解决方案
www.jiangmin.com.cn 2003-1-26 18:44:45 作者: 信息出自:江民科技
江民公司建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作:
1、在打开江民反黑王并确认阻塞外部对内和内部对外的UDP/1434端口的访问
如果该步骤实现有困难,可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。
2、找到被感染的主机
在边界路由器(或者防火墙)上进行检查,也可启动网络监视程序(譬如Sniffer Pro)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,这些主机极可能感染了该蠕虫。
如果不能确定,则认为所有运行Microsoft SQL Server 2000 而没有安装补丁程序的机器都是被感染的机器。
可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描并不准确,可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是,只有SQL Server 2000才会受到此蠕虫的感染。
3、拔掉被感染主机的网线。
4、重新启动所有被感染机器,以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。
5、插上被感染机器的网线
6、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack:
虽然Microsoft SQL Server 2000 SP2(http://www.microsoft.com/sql/downloads/2000/sp2.asp)就已经解决了该问题,但考虑到在SP2之后又出现了一些严重安全问题,强烈建议安装Microsoft SQL Server 2000 SP3(http://www.microsoft.com/sql/downloads/2000/sp3.asp),
或者至少应该下载针对该漏洞的热修复补丁:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
注意:如果由于某种原因无法从网络下载补丁进行安装,可以在其他未被感染的主机上下载补丁,刻录在光盘或者保存在其他移动介质上,然后再到被感染的主机上进行安装。
江民反黑王的用户不会受到此病毒的影响。该病毒目前已经被江民公司的反病毒监测网络检测到,并成功清除,杀毒王的用户请升级到26日的最新病毒库对内存病毒进行动态截获查杀。主要的预防手段是安装系统补丁程序。
江民公司建议SQLserver用户安装SQL Server漏洞补丁和SP3。
补丁下载地址:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602
微软针对此安全漏洞的安全补丁:
http://download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT42KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE
江民公司最新升级病毒数据库是2003年1月26日。
附件是到目前为止的报告统计。
目前由于该网络蠕虫"SQL杀手"感染的对象主要是各大网站的服务器,使用户不能访问网站,涉及面包括全国大部分的网站、服务器、数据库等,其实主要是使用SQL和MSDE2000而没有安装补丁的服务器都能感染并形成新的攻击源头。
热门产品