新浪科技讯　近日，"W32.SQLExp.Worm"俗称"蠕虫王"的蠕虫性病毒在因特网肆虐，导致INTERNET浏览以及电子邮件传送速度减慢甚至中断，时间长达数小时，针对这次全球性的蠕虫病毒攻击，全球领先的互联网安全技术与解决方案供应商赛门铁克公司(纳斯达克：SYMC)率先发现此病毒，并已经提供了清除W32.SQLExp.Worm的工具。

　　据悉，2003年1月25日，赛门铁克安全响应中心在跟踪中，发现针对端口1434的通信量大幅增加。此端口与Microsoft SQL Server Monitor关联。赛门铁克安全响应中心还发现，这种通信与SQL蠕虫有关。该蠕虫正在危害易受攻击的SQL服务器。

　　在高峰期，赛门铁克安全响应中心通过跟踪，发现参与此活动的独立系统数量达到22000多个。赛门铁克安全响应中心强烈建议所有MS-SQL服务器系统管理员户马上检查自己的计算机，查找已知的安全风险。另外，安全响应工作组还建议，对边界设备进行配置，阻挡从不受信主机通往UDP端口1434的通信。

　　另悉，W32.SQLExp.Worm与Code Red类似，因为它只驻留在内存中，没有文件与它关联。尽管SQL蠕虫是一种严重威胁，但是，赛门铁克安全响应中心认为，它带来的攻击活动不会严重到CodeRed蠕虫的程度，原因是这种威胁只攻击SQL服务器。

　　病毒特征：

　　发现时间：2003年1月24日

　　别名：SQL Slammer Worm [ISS], DDOS.SQLP1434.A [Trend], W32/SQLSlammer [McAfee], Slammer [F-Secure], Sapphire [eEye], W32/SQLSlam-A [Sophos]

　　病毒类型：蠕虫

　　感染长度：376字节

　　受感染系统：Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

　　不会感染的系统：Windows 3.x, Microsoft IIS, Macintosh, OS/2, UNIX, Linux

　　据了解，该蠕虫是内存驻留型程序而非写入硬盘，此威胁不能通过病毒定义查找。由于这种蠕虫发出大量的数据包，所以它带来的无用负载足以执行拒绝服务攻击。

　　为了避免该病毒的威胁，赛门铁克安全专家建议用户和管理员在操作计算机时遵循以下良好基本安全原则或采取下面的最佳措施：

　　关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如FTP客户端、Telnet和Web服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。

　　实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如HTTP、FTP、邮件和DNS服务。强制执行密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件(如.vbs、.bat、.exe、.pif和.scr)的电子邮件。

　　迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。教育员工不要打开来路不明的附件。也不要执行从Internet下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。

　　附件：W32.SQLExp.Worm清除工具如下:

　　1.测定是否有易受攻击的.dll文件存在于你的机器上

　　2.找到sqlserver.exe过程中的蠕虫线程，并使其进入休眠状态

　　3.显示一条消息，提示您确认Microsoft修补程序已安装。必须从Microsoft Security Bulletin MS02-061获取该修补程序。

　　通过此工具，可以使用命令行转换开关转换开关说明/HELP, /H, /显示帮助信息。/SILENT, /S启用静音模式。/LOG= 创建一个日志文件。其中，是存储工具输出结果的位置。默认情况下，该转换开关将在执行删除工具的同一文件夹中创建日志文件FixSQLex.log。

　　如何获得和运行清除工具：

　　备注:

　　·你必须具备在Windows NT4/2000/XP运行此工具的管理权限

　　1.从以下网址下载FixSQLex.exe文件:

　　http://securityresponse.symantec.com/avcenter/FixSQLex.exe

　　2.将此文件保存在方便的位置，如下载文件夹或Windows桌面(如可能可保存在不受影响的移动载体上)

　　3.查阅"数字签名"(The digital signature)区，核对其真实性

　　4.在运行此工具前关闭所有程序

　　5.双击FixSQLex.exe文件运行清除工具

　　6.点击"开始"，然后开始运行

　　7.重新启动计算机

　　8.重新运行一遍清除工具，以确保系统清洁

　　9.运行LiveUpdate以确保你在使用最新的病毒定义

　　数字签名(The digital signature)

　　FixSQLex.exe即数字签名.赛门铁克推荐你只使用从赛门铁克安全响应中心网址复制的FixSQLex.exe文件.核对数字签名真实性，遵从以下步骤：

　　1.打开http://www.wmsoftware.com/free.htm

　　2.下载并保存Chktrust.exe文件，将其与FixSQLex.exe保存在同一文件夹中(例如：C:＼Downloads)

　　3.根据不同操作系统，完成以下步骤:

　　o点击"开始"，指向"程序"，点击" MS-DOS快捷键"

　　o点击"开始"，指向"程序"，点击"附件"，然后点击"命令快捷键"

　　3.进入存有FixSQLex.exe和Chktrust.exe的文件夹，然后见如：

　　chktrust -i FixSQLex.exe

　　例如，你将其存放在C:＼Downloads文件夹,你就进入以下命令(每个命令后按回车键)：

　　cd＼

　　cd downloads

　　chktrust -i FixSQLex.exe

　　如果数字签名有效，你会看到以下内容：

　　Do you want to install and run "FixSQLex" signed on 1/25/2003 6:06 PM and distributed by Symantec Corporation.

　　备注:

　　§如果你的计算机不是设置为美国西部标准时间，对话窗中的时间地点将随之调整

　　§如果你使用的是夏令时，时间显示将早一小时

　　§如果此对话窗不显示，可能是以下两个原因：

　　o工具不是来自赛门铁克。除非你确认此工具是合法的，从合法的赛门铁克网站下载的，否则不要运行它。

　　o工具来自赛门铁克并合法。但是，你的操作系统是来自于以前的赛门铁克网站内容。此信息及如何观看确认对话窗可参阅How to restore the Publisher Authenticity confirmation dialog box.

　　5.点击"是"关闭对话窗

　　6.键入exit然后按回车.关闭MS-DOS

　　从软盘如何运行删除工具

　　1.插入存有FixSQLex.exe文件内容的软盘

　　2.点击"开始"，然后点击"运行"

　　3.键入以下内容，点击OK:

　　a:＼FixSQLex.exe

　　备注:在命令中没有空格a:＼FixSQLex.exe

　　4.点击"开始"，然后运行工具

　　5.如果你运行Windows Me,然后重新给System Restore授权.

　　新浪天堂隆重发布，百万玩家迎接公开测试