2003年1月25日，Slammer蠕虫曾经造成世界范围内的网络瘫痪，各地网络管理员在网关处
的访问控制措施迅速控制了蠕虫的传播和破坏，但是被感染的SQL Server服务器和有漏
洞的计算机系统仍然大量存在，构成了对网络安全极大的隐患。

近期，由于许多网络管理员取消了路由器上的控制措施，导致大量Slammert蠕虫死灰复燃，
再次对网络造成一定的影响和破坏。从近期的检测结果来看，Slammer蠕虫感染的计算机
仍然大量存在，因此建议网络管理员不要放松警惕，一则不要取消网关上的控制措施，
二要彻底检查管理范围内的主机，并为SQL Server 安装系统补丁。


附：Slammer 蠕虫信息

slammer是针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 的一
种蠕虫。该蠕利用MS-SQL的一个漏洞进行传播。由于蠕虫发送大量的udp包，因此会造成网络Dos攻击。

影响版本：
SQL Server 2000 RTM
SQL Server 2000 SP1
SQL Server 2000 SP2
Microsoft SQL Desktop Engine Version (MSDE) 2000

详细信息：

蠕虫感染一台有漏洞的主机过程如下：
1.将自身封装在一个376字节的udp数据包中发送到网络上任意地址主机的udp 1434端口
2.如果主机的SQL 服务器解析服务（SQL Server Resolution Service）开放并没有安
装相应的补丁，蠕虫将利用漏洞覆盖一部分系统内存，以此获得
  SQL 服务进程所拥有的安全权限。
3.调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地
4.在受害主机上建立一个socket,使用一个临时的端口发送封装有蠕虫的udp包到刚才产生
的那些地址中，只要这些地址中存在具有该漏洞的主机均能感染

蠕虫具有以下特征：
1.使用udp协议传播，传播速度快，传播面积广
2.蠕虫感染系统后，只驻留内存不在硬盘上写任何文件
3.由于发送大量的udp包会产生巨大的网络流量，造成Dos攻击

检测和控制方法：

网络检测方法：

symantec提供了如下的网络检测规则
alert udp $EXTERNAL_NET any -> $HOME_NET 1434 (msg:"W32.SQLEXP.Worm propagation"; 
content:"|68 2E 646C 6C 68 65 6C 33 32 68 6B 65 72 6E|"; content:"|04|"; offset:0; 
depth:1;)

本地检测方法：
微软提供了专门的检测工具，你可以在我们的网站上下载到相关的工具：         检测工具
使用里面的sqlscan你可以扫描出网络上易受slammer感染的主机来。软件内附有详细的使用说明。


网络控制方法：
你可以在边界路由器上添加以下规则：
access-list 110 deny udp any any eq 1434

本地控制方法：
为有MS-SQL的机器安装最新的补丁
使用单机防火墙屏蔽udp1434端口


解决方法：
请先确定您的MS-SQL安装了最新补丁，如果没有请尽快安装补丁。如果不及时安装补丁，
即便是你有效的清除了该蠕虫也会很快被重新感染。

请校园网用户立即关闭SQL_SERVER_2000，下载并安装SQL_SERVER 2000补丁，然后重启机器。
相关的补丁你可以在我们的网站上下载：

中文补丁：
    CHS_SQL2KDeskSP3.exe
    chs_sql2kasp3.exe
    chs_sql2ksp3.exe

英文补丁：
    Q323875_SQL2000_SP2_en.exe

如果确定你的机器已经被感染了slammer蠕虫，请按以下方法操作：
1.暂时将本地的MS-SQL服务设为禁用，重新启动机器
2.下载相关的补丁到本地并安装
3.重新启用本地的MS-SQL服务

不知该信息是否给您解决了问题，还有疑问请到留言建议向我们咨询 :)