病毒特征

该蠕虫攻击安装有 SQL 的NT系列服务器，该病毒尝试探测被攻击机器的1434/udp端口，如果探测成功，则发送376个字节的蠕虫代码。1434/udp端口为 SQL开放端口。该端口在未打补丁的SQL 平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机

会在被攻击机器上运行进一步传播。

该蠕虫入侵MS SQL 系统，运行于MS SQL 2000主程序.exe应用程序进程空间，而MS SQL 2000拥有最高级别权限，因而该蠕虫也获得级别权限。 受攻击系统：未安装MS SQL SP3的系统

而由于该蠕虫并没有对自身是否已经侵入系统的判定，因而该蠕虫造成的危害是显然的，不停的尝试入侵将会造成拒绝服务式攻击，从而导致被攻击机器停止服务瘫痪。

该蠕虫由被攻击机器中的.dll存在的缓冲区溢出漏洞进行攻击，获得控制权。随后分别从以及.dll中获得函数和以及函数地址。紧接着调用 函数，利用其返回值产生一个随机数种子，并用此种子产生一个IP地址作为攻击对象;随后创建一个UDP ，将自身代码发送到目的被攻击机器的1434端口，随后进入一个无限循环中，重复上述产生随机数计算ip地址，发动攻击一系列动作。

解决方案

建议所有运行 SQL 2000和近期发现网络访问异常的用户按照以下解决方案操作：

1、阻塞外部对内和内部对外的UDP/1434端口的访问。

如果该步骤实现有困难可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻塞对本机UDP/1434端口的访问。

2、找到被感染的主机

在边界路由器(或者防火墙)上进行检查，也可启动网络监视程序(譬如 Pro)进行检查，找到网络中往目的端口为UDP/1434发送大量数据的主机，这些主机极为可能感染了该蠕虫。

如果不能确定，则认为所有运行 SQL 2000 而没有安装补丁程序的机器都是被感染的机器。

可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行 SQL 2000的主机，但是由于UDP端口扫描并不准确，可以扫描TCP/1433端口找到运行SQL 的主机。但需要注意的是，只有SQL 2000才会受到此蠕虫的感染。

3、拔掉被感染主机的网线。

4、重新启动所有被感染机器，以清除内存中的蠕虫。关闭SQL 服务以防止再次被蠕虫感染。

5、插上被感染机器的网线

注意：如果由于某种原因无法从网络下载补丁进行安装，因此可以在其他未被感染的主机上下载补丁，刻录在光盘或者保存在其他移动介质上，然后再到被感染的主机上进行安装。