Worm.SQL.Helkern临时解决方案

安天实验室应急响应小组
（特感谢各兄弟安全公司和网站转载本站资料，欢迎继续转载但请注明出处）

病毒简单描述 单机处理方案 网络监控方案

病毒简单描述：

Worm.SQL.Helkern是一种危害广泛的蠕虫，该蠕虫自2003年1月25日开始在全球传播，造成了很多地区的网络瘫痪。安天实验室于当日捕获了病毒传输包，进行了分析，并提供如下解决方案。

由于这个蠕虫是无文件载体的内存蠕虫，也不在系统留下任何后门，因此只要重新启动，蠕虫就会被清除，只是由于全球有大量机器被感染后在不停的扫描，所以可能开机后立即就被感染。而被感染后，由于资源迅速耗尽，可能进入假死状态，影响用户配置和补丁操作。

同时，由于全球用户都在通过微软下载，微软的网站将会很慢，有可能难以下载升级不定。用户可以按照如下次序处理。

处理方案如下：

步骤一、用户首先对系统自查：

所有没有安装SQL Server 的用户不会被感染，可以不必进行任何处理。所有安装了SQL Server但已经安装了Sql Server SP3的用户，也不会被感染。

如果用户不清楚自己机器是否有风险：可以下载antiy port察看udp 1434段口是否打开：
地址：http://www.antiy.com/service/freetools/antiyport.zip

如果用户不清楚自己是否需要安装补丁，可以下载sql漏洞察看器：

地址：http://www.antiy.com/products/freetools/SQLCheck.exe

步骤二：禁止1434端口连接：有单机防火墙的用户，可以通过防火墙禁止1434端口连接。没有防火墙的用户可以安装单机防火墙，也可以通过配置网卡高级属性，只允许必要的连接端口，达到禁止连接目的。进行配置的时候，建议用户拔掉网线。

如此配置，系统将禁止所有的ＵＤＰ连接。

完成配置后，用户可以重起机器，之后下载SQL Server SP3补丁。

补丁地址：http://www.microsoft.com/sql/downloads/2000/sp3.asp

如果sp3下载速度比较慢，可以先下载单独补丁。

补丁地址：http://www.virusview.net/download/Q323875_SQL2000_SP2_en.EXE

网络监控方案：

1、定性检测：需要通过IDS

添加IDS规则，在目标端口为1434 的UDP通讯中，匹配如下字符串："h.dllhel32hkernQhounthickChGetT"

使用snort的用户，可以添加如下规则，其他参数未加，网管可以自己补充：

alert udp $EXTERNAL_NET any -> $SQL_SERVERS 1434 (msg:"Worm.SQL.Helkern"; content:"h.dllhel32hkernQhounthickChGetT"; nocase;)
或者

alert udp $EXTERNAL_NET any -> $SQL_SERVERS 1434 (msg:"Worm.SQL.Helkern"; content:"|04 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01 01|";)

2、sniffer观测：

通过hub抓包，或者将通讯镜像到交换机的诊断口，抓去所有目标为1434的udp包，关注是否有如下内容。

3、流量观测

观察网络是否有爆发的udp通讯。

相关信息：反汇编结果（by Antiy Cert）