中新网1月27日电 江民反病毒专家指出日前导致全球网络瘫痪元凶——“SQL杀手”病毒是一个罕见的病毒体极短小而传播性极强的蠕虫病毒。该蠕虫利用Microsoft SQL Server 2000缓冲区溢出漏洞进行传播，详细传播过程如下：

　　该病毒入侵未受保护的机器后，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码发送至1434端口(Microsoft SQL Server开放端口)，该蠕虫传播速度极快，它使用广播数据包方式发送自身代码，每次均攻击子网中所有255台可能存在机器。

　　易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列服务器，包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播文件形式病毒体，纯粹在内存中进行蔓延。病毒体内存在字符串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws_f"、"etQhsockf"、"toQhsend"。该病毒利用的安全漏洞于2002年7月被发现并在随后的MS SQL Server2000补丁包中得到修正。

　　病毒特征：

　　该蠕虫攻击安装有Microsoft SQL的NT系列服务器，尝试探测被攻击机器的1434/udp端口(江民反黑王默认设置是将1434端口关闭，使用江民反黑王的用户不会受到此病毒的影响)，如果探测成功，则发送376个字节的蠕虫代码。1434/udp端口为Microsoft SQL开放端口。该端口在未打补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。

　　该蠕虫入侵MS SQL Server系统，运行于MS SQL Server 2000主程序sqlservr.exe应用程序进程空间，而MS SQL Server 2000拥有最高级别System权限，因而该蠕虫也获得System级别权限。

　　受攻击系统：未安装MS SQL Server2000 SP3的系统而由于该蠕虫并没有对自身是否已经侵入系统的判定，因而该蠕虫造成的危害是显然的，不停的尝试入侵将会造成拒绝服务式攻击，从而导致被攻击机器停止服务及瘫痪。

　　该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击，获得控制权。随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。紧接着调用gettickcount函数，利用其返回值产生一个随机数种子，并用此种子产生一个IP地址作为攻击对象；随后创建一个UDP socket，将自身代码发送到目的被攻击机器的1434端口，随后进入一个无限循环中，重复上述产生随机数计算ip地址，发动攻击一系列动作。