江民最新“SQL杀手”病毒解决方案

　　江民公司建议所有运行Microsoft SQL Server 2000和近期发现网络访问异常的用户按照以下解决方案操作：

　　1、在打开江民反黑王并确认阻塞外部对内和内部对外的UDP/1434端口的访问

　　如果该步骤实现有困难，可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻

塞对本机UDP/1434端口的访问。

　　2、找到被感染的主机

　　在边界路由器(或者防火墙)上进行检查，也可启动网络监视程序(譬如Sniffer Pro)进行检查，找到网络中往目的端口为UDP/1434发送大量数据的主机，这些主机极可能感染了该蠕虫。如果不能确定，则认为所有运行Microsoft SQL Server 2000而没有安装补丁程序的机器都是被感染的机器。可以使用端口扫描程序对UDP/1434端口进行扫描来找到运行Microsoft SQL Server 2000的主机，但是由于UDP端口扫描并不准确，可以扫描TCP/1433端口找到运行SQL Server的主机。但需要注意的是，只有SQL Server 2000才会受到此蠕虫的感染。

　　3、拔掉被感染主机的网线。

　　4、重新启动所有被感染机器，以清除内存中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。

　　5、插上被感染机器的网线

　　6、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack：

　　虽然Microsoft SQL Server 2000 SP2(http://www.microsoft.com/sql/downloads/2000/sp2.asp)就已经解决了该问题，但考虑到在SP2之后又出现了一些严重安全问题，强烈建议安装Microsoft SQL Server 2000 SP3(www.microsoft.com/sql/downloads/2000/sp3.asp)，或者至少应该下载针对该漏洞的热修复补丁：http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602注意：如果由于某种原因无法从网络下载补丁进行安装，可以在其他未被感染的主机上下载补丁，刻录在光盘或者保存在其他移动介质上，然后再到被感染的主机上进行安装。

　　由于江民反黑王默认设置是将1434端口关闭，使用江民反黑王的用户不会受到此次病毒的影响。对于该病毒只需及时升级更新KV江民杀毒王2003病毒库至2003年1月26日，就可以对内存中的病毒进行动态截获查杀。

　　当前主要的预防手段是安装系统补丁程序。

　　江民公司建议SQLserver用户安装SQL Server漏洞补丁和SP3。

　　补丁下载地址：www.microsoft.com/Downloads/Release.asp?ReleaseID=40602微软针对此安全漏洞的安全补丁：

　　download.microsoft.com/download/SQLSVR2000/Patch/Q323875/W98NT42KMeXP/EN-US/Q323875_SQL2000_SP2_en.EXE