SQL蠕虫病毒

　　【故障现象】SQL是蠕虫一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433或者UDP1434端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。

　　此蠕虫是由一系列的DLL、EXE、BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。

　　中毒的主机大量发包阻塞网络，整个网络会迅速被这些攻击所形成的流量影响，形成DoS拒绝服务攻击。造成局域网内所有人网速变慢直至无法上网。

　　【快速查找】在WebUIà上网监控页面，查询当前全部上网记录，可以看到感染冲击波病毒的主机发出的大量NAT会话，特征如下：

　　1、协议为TCP，外网端口为1433；协议为UDP，外网端口为1434；

　　2、会话中有上传包，下载包往往很小或者为0。

　　

　　【解决办法】

　　1、将中病毒的主机从内网断开，杀毒，安装微软提供的相关SQL Server的补丁。

　　2、在安全网关上关闭该病毒的相关端口。

　　1）WebUIà高级配置à组管理，建立一个工作组“all”（可以自定义名称），包含整个网段的所有IP地址（192.168.0.1--192.168.0.254）。

　　注意：这里用户局域网段为192.168.0.0/24，用户应该根据实际使用的IP地址段进行组IP地址段指定。