江民最新“SQL杀手”病毒解决方案 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
http://www.sina.com.cn 2003年01月27日 13:21 新浪科技 | ||||||||||
江民公司建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作: 1、在打开江民反黑王并确认阻塞外部对内和内部对外的UDP/1434端口的访问 如果该步骤实现有困难,可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻
2、找到被感染的主机 在边界路由器(或者防火墙)上进行检查,也可启动网络监视程序(譬如Sniffer Pro)进行检查,找到网络中往目的端口为UDP/1434发送大量数据的主机,这些主机极可能感染了该蠕虫。如果不能确定,则认为所有运行Microsoft SQL Server 2000而没有安装补丁程序的机器都是被感染的机器。可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机,但是由于UDP端口扫描并不准确,可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是,只有SQL Server 2000才会受到此蠕虫的感染。 3、拔掉被感染主机的网线。 4、重新启动所有被感染机器,以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。 5、插上被感染机器的网线 6、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack: 虽然Microsoft SQL Server 2000 SP2(http://www.microsoft.com/sql/downloads/2000/sp2.asp)就已经解决了该问题,但考虑到在SP2之后又出现了一些严重安全问题,强烈建议安装Microsoft SQL Server 2000 SP3(www.microsoft.com/sql/downloads/2000/sp3.asp),或者至少应该下载针对该漏洞的热修复补丁:http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602注意:如果由于某种原因无法从网络下载补丁进行安装,可以在其他未被感染的主机上下载补丁,刻录在光盘或者保存在其他移动介质上,然后再到被感染的主机上进行安装。 由于江民反黑王默认设置是将1434端口关闭,使用江民反黑王的用户不会受到此次病毒的影响。对于该病毒只需及时升级更新KV江民杀毒王2003病毒库至2003年1月26日,就可以对内存中的病毒进行动态截获查杀。 当前主要的预防手段是安装系统补丁程序。 江民公司建议SQLserver用户安装SQL Server漏洞补丁和SP3。 补丁下载地址:www.microsoft.com/Downloads/Release.asp?ReleaseID=40602微软针对此安全漏洞的安全补丁: download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT42KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE |