求助

妖恋

2008-7-24 18:01:29        Intrusion.Win.MSSQL.worm.Helkern! 攻击者 IP: 218.75.199.50. 协议/服务: UDP 在本地端口 1434. 时间: 2008-7-24 18:01:29.
我的电脑常常出现这样的提示，杀毒也杀不出东西，这个是什么原因，请高手指点

丛林里的海藻

Intrusion.Win.MSSQL.worm.Helkern是一种危害很大的蠕虫病毒.该蠕虫使用了一种缓冲区溢出漏洞来进入受害者的机器。它会把自己发送到一个随机IP地址的Microsoft SQL1434端口.这就是为什么有多朋友看到它在进攻自己计算机的原因.其实大家不需要担心.这个病毒它只会感染电脑的内存.(你关机后它就没了)

Worm.SQL.Helkern是一种危害广泛的蠕虫，该蠕虫自2003年1月25日开始在全球传播，造成了很多地区的网络瘫痪。这个蠕虫是内存蠕虫，也不在系统留下任何后门，因此只要重新启动，蠕虫就会被清除，只是由于全球有大量机器被感染后在不停的扫描，所以可能开机后立即就被感染。而被感染后，由于资源迅速耗尽，可能进入假死状态，影响用户配置和补丁操作。
同时，由于全球用户都在通过微软下载，微软的网站将会很慢，有可能难以下载升级补丁。用户可以按照如下次序处理。

丛林里的海藻

处理方案如下：
步骤一、用户首先对系统自查：
所有没有安装SQL Server 的用户不会被感染，可以不必进行任何处理。所有安装了SQL Server但已经安装了Sql Server SP3的用户，也不会被感染。
如果用户不清楚自己机器是否有风险：可以下载antiy port察看udp 1434段口是否打开：
地址：http://www.antiy.com/service/freetools/antiyport.zip
如果用户不清楚自己是否需要安装补丁，可以下载sql漏洞察看器：
地址：http://www.antiy.com/products/freetools/SQLCheck.exe
步骤二：禁止1434端口连接：有单机防火墙的用户，可以通过防火墙禁止1434端口连接。没有防火墙的用户可以安装单机防火墙，也可以通过配置网卡高级属性，只允许必要的连接端口，达到禁止连接目的。进行配置的时候，建议用户拔掉网线。



如此配置，系统将禁止所有的ＵＤＰ连接。
完成配置后，用户可以重起机器，之后下载SQL Server SP3补丁。
补丁地址：http://www.microsoft.com/sql/downloads/2000/sp3.asp
如果sp3下载速度比较慢，可以先下载单独补丁。
补丁地址：http://www.virusview.net/download/Q323875_SQL2000_SP2_en.EXE
网络监控方案：
1、定性检测：需要通过IDS
添加IDS规则，在目标端口为1434 的UDP通讯中，匹配如下字符串："h.dllhel32hkernQhounthickChGetT"
使用snort的用户，可以添加如下规则，其他参数未加，网管可以自己补充：
alert udp $EXTERNAL_NET any -> $SQL_SERVERS 1434 (msg:"Worm.SQL.Helkern"; content:"h.dllhel32hkernQhounthickChGetT"; nocase;)
或者
alert udp $EXTERNAL_NET any -> $SQL_SERVERS 1434 (msg:"Worm.SQL.Helkern"; content:"|04 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01|";)
2、sniffer观测：
通过hub抓包，或者将通讯镜像到交换机的诊断口，抓去所有目标为1434的udp包，关注是否有如下内容。



3、流量观测
观察网络是否有爆发的udp通讯。
　

相濡以沫

学习了……