病毒名称：Win32/SQLSlammer.Worm

别名：“强风”，UDP风暴等

类型：蠕虫

特征：

　　此次在Internet上大规模爆发的蠕虫病毒最早于03年1月25日现身，之后以极快的速度在Internet 的服务器上大面积传播。

　　该蠕虫本身很小，仅仅376个字节。利用Microsoft SQL Server 2000 Resolution服务远程栈缓冲区溢出漏洞。
　
    蠕虫利用UDP/1434端口，该端口用于SQL Server Resolution服务。当SQL Server Resolution服务在UDP 1434端口接收到第一个字节设置为0x04的UDP包时，SQL监视线程会获取UDP包中的数据，此时攻击者可以通过在这个UDP包后追加大量字符串，当尝试打开这个字符串相对应的数值时，会发生基于栈的缓冲区溢出。
　
　　当溢出成功后，蠕虫取得系统控制权，开始向随机IP地址发送自身代码，这一过程将无限循环，因此发送的数据量非常大。极大的占用了被感染机器的系统资源及所在的网络资源。
　
　　由于蠕虫对被感染机器本身并没有进行写盘、传染文件或向外发送email等常规的病毒操作，因此对于感染的系统，只要重新启动就可以清除蠕虫，但只要漏洞存在仍然会重复感染。

病毒的解决：

　　我们建议所有运行Microsoft SQL Server 2000的用户按照以下解决方案操作：

　　1、在边界防火墙或者路由器上阻塞外部对内和内部对外的UDP/1434端口的访问

　　2、找到被感染的主机（安装有SQL Server的系统）
　　可启动网络监视程序（譬如 eID,Sniffer 等）进行检查，找到网络中往目的端口为UDP/1434发送大量数据的主机，或在边界路由器（或者防火墙）上进行检查。

　　3、将被感染的主机与网络断开，重新引导系统（将内存中的蠕虫清除）。安装微软提供的SQL的补丁，恢复网络连接。

建议安装Microsoft SQL Server 2000 SP3（http://www.microsoft.com/sql/downloads/2000/sp3.asp）。

　　或者下载专门针对该漏洞的热修复补丁：　　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=40602

安装完补丁后系统将不会再被此病毒感染。