调试易

请参看这个贴
http://expert.csdn.net/Expert/topic/1392/1392313.xml?temp=.71513

我转贴一下中国绿盟的报道：北京时间2003年01月25日14时许，绿盟科技安全小组监测到忽然发生的世界范围的大规模网络访问速度减慢情况，经过我们对捕获的数据分析，以及和国外安全组织交流的信息，基本可以确定这是一次有预谋的大规模DoS行为。就得到的数据分析来看，主要的流量为针对UDP/1434端口的数据。UDP/1434端口是SQL Server Resolution服务。Microsoft SQL Server 2000支持在单个物理主机上伺服多个SQL服务器的实例，每个实例操作需要通过单独的服务，不过多个实例不能全部使用标准SQL服务会话会话端口(TCP 1433)，所以SQL Server Resolution服务操作监听在UDP 1434端口，提供一种使客户端查询适当的网络末端用于特殊的SQL服务实例的途径。目前可以肯定的是这这种大规模的攻击是针对Microsoft SQL Server 2000的。可能与历史上发现的几个Microsoft SQL Server 2000漏洞有关，也可能是某个未公开的漏洞。
更详细的报道去这看看：http://www.nsfocus.com
其实美国CNN有线电视网的网站上也有类似消息：http://www.cnn.com

应该不是昨天的病毒，和下面的描述不一样，而且NIS提示它使用TCP socket
技术细节：
　　该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击，获得控制权。
　　随后分别从kernel32以及ws2_32.dll中获得GetTickCount函数和socket以及sendto函数地址。
　　紧接着调用 gettickcount函数，利用其返回值产生一个随机数种子，并用此种子产生一个IP地址作为攻击对象；随后创建一个UDP socket，将自身代码发送到目的被攻击机器的1434端口，随后进入一个无限循环中，重复上述产生随机数计算ip地址，发动攻击一系列动作。