针对Worm.SQL.Helkern 蠕虫发布的SQL漏洞检测器。Worm.SQL.Helkern是一种危害广泛的蠕虫,该蠕虫自2003年1月25日开始在全球传播,造成了很多地区的网络瘫痪。安天实验室于当日捕获了病毒传输包,进行了分析,并提供如下解决方案。
由于这个蠕虫是无文件载体的内存蠕虫,也不在系统留下任何后门,因此只要重新启动,蠕虫就会被清除,只是由于全球有大量机器被感染后在不停的扫描,所以可能开机后立即就被感染。而被感染后,由于资源迅速耗尽,可能进入假死状态,影响用户配置和补丁操作。
处理方案如下:
步骤一、用户首先对系统自查:
所有没有安装SQL Server 的用户不会被感染,可以不必进行任何处理。所有安装了SQL Server但已经安装了Sql Server SP3的用户,也不会被感染。
如果用户不清楚自己机器是否有风险:可以察看udp 1434段口是否打开;
如果用户不清楚自己是否需要安装补丁,可以下载sql漏洞察看器。
步骤二:禁止1434端口连接:有单机防火墙的用户,可以通过防火墙禁止1434端口连接。没有防火墙的用户可以安装单机防火墙,也可以通过配置网卡高级属性,只允许必要的连接端口,达到禁止连接目的。进行配置的时候,建议用户拔掉网线。
如此配置,系统将禁止所有的UDP连接。
完成配置后,用户可以重起机器,之后下载SQL Server SP3补丁。