蠕虫获取随机IP地址的方法：

　　第N个IP地址的算法如下：

　　107005^N *[当前时间-开机时间(单位：毫秒)]+N*C

　　第N个IP地址 ＝（107005的N次方 乘以 开机以来经过的时间值，再加上N和一个常数C的乘积）

　　常数C取决于Windows的service pack号，在Win2k SP3下C = （0x77E89B18和0xFFD9613C相异或）

　　威胁评估：

　　端口: UDP port 1434. The worm continuously sends traffic to randomly generated IP addresses, attempting to send itself to hosts that are running the Microsoft SQL Server Resolution Service, and that are therefore listening on that port.

　　针对 Microsoft SQL Server 2000 和 Microsoft Desktop Engine (MSDE) 2000 漏洞进行攻击。该蠕虫发送长度为376字节的包到 UDP 1434 端口，即 SQL 服务器的解析服务端口。因为发送大量的数据包，该蠕虫也会导致具有“拒绝服务”（DoS）效果的攻击。

　　W32.SQLExp.Worm 侵害一个有安全漏洞的系统时将执行以下操作：

　　将自己发送到负责在 UDP 1434 端口监听的 SQL 服务器解析服务（SQL Server Resolution Service）。利用“缓存区溢出导致部分系统内存被覆盖”这一安全漏洞。这样一来蠕虫就可以拥有一般 SQL 服务器服务所拥有的安全权限。

　　调用 Windows 的 API 功能 GetTickCount 随机生成 IP 地址。在受感染的机器上建立一个“socket”，使用一个临时端口将自己重复得从随机生成的 IP 地址发送给UDP 1434 端口。 因为蠕虫不选择攻击网络中特定的主机，它运行的直接后果是巨大的通信流量。

　　病毒字符串特征：

　　* h.dllhel32hkernQhounthickChGetTf

　　* hws2

　　* Qhsockf

　　* toQhsend

　　建议：

　　对不知名的机器关闭1434端口。

　　不发送以1434端口为目的地的 UDP 包。

　　所有用户和管理员都坚持以下良好的基本安全习惯：

　　关闭或删除不需要的服务。默认情况下，许多操作系统会安装不危险的辅助服务，如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击提供了方便之门。如果删除它们，就减少了混合型威胁用于攻击的途径，并且在补丁程序更新时也减少了要维护的服务。

　　如果混合型威胁利用了一个或多个网络服务，请在应用补丁程序之前禁用或禁止访问这些服务。

　　实施应用最新的补丁程序，特别是在运行公共服务并可通过防火墙进行访问的计算机上，如 HTTP、FTP、邮件和 DNS 服务。强制执行Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码策略。使用复杂的密码，即使在受到威胁的计算机上也难以破解密码文件。这有助于在计算机的安全受到威胁时防止或限制更大的破坏。

　　将您的邮件服务器配置为禁止或删除包含常用于传播病毒的附件（如 .vbs、.bat、.exe、.pif 和 .scr）的电子邮件。

　　迅速隔离受感染的计算机以防止您的组织受到更多的威胁。执行攻击型分析并使用可靠的媒体恢复计算机。

　　教育员工不要打开来路不明的附件。也不要执行从 Internet 下载后未经病毒扫描的软件。如果某些浏览器漏洞未被修补，访问受到安全威胁的网站也会造成感染。