详细传播过程如下：

该病毒入侵未受保护的机器后，取得三个Win32 API地址，GetTickCount、socket、sendto，接着病毒使用GetTickCount获得一个随机数，进入一个死循环继续传播。在该循环中蠕虫使用获得的随机数生成一个随机的ip地址，然后将自身代码传送至1434连线埠(Microsoft SQL Server开放连线埠)，该蠕虫传播速度极快，其使用广播数据包方式传送自身代码，每次均攻击子网中所有255台可能存在机器。

易受攻击的机器类型为所有安装有Microsoft SQL Server 2000的NT系列伺服器，包括WinNT/Win2000/WinXP等。所幸该蠕虫并未感染或者传播档案形式病毒体，纯粹在记忆体中进行蔓延。 病毒体记忆体在字元串"h.dllhel32hkernQhounthickChGet"、"Qh32.dhws2_f"、"etQhsockf"、"toQhsend".该病毒利用的安全漏洞于2002年七月被发现并在随后的MS SQL Server2000补丁包中得到修正。

该蠕虫攻击安装有Microsoft SQL 的NT系列伺服器，该病毒尝试探测被攻击机器的1434/udp连线埠（江民反黑王默认设定是将1434连线埠关闭，使用江民反黑王的用户不会受到次病毒的影响），如果探测成功，则传送376个位元组的蠕虫代码。1434/udp连线埠为Microsoft SQL开放连线埠。该连线埠在未打补丁的SQL Server平台上存在缓冲区溢出漏洞，使蠕虫的后续代码能够得以机会在被攻击机器上运行进一步传播。

该蠕虫入侵MS SQL Server系统，运行于MS SQL Server 2000主程式sqlservr.exe应用程式进程空间，而MS SQL Server 2000拥有最高级别System许可权，因而该蠕虫也获得System级别许可权。

受攻击系统：未安装MS SQL Server2000 SP3的系统

而由于该蠕虫并没有对自身是否已经侵入系统的判定，因而该蠕虫造成的危害是显然的，不停的尝试入侵将会造成拒绝服务式攻击，从而导致被攻击机器停止服务瘫痪。

该蠕虫由被攻击机器中的sqlsort.dll存在的缓冲区溢出漏洞进行攻击，获得控制权。随后分别从kernel32以及ws2_32.dll中获得GetTickCount函式和socket以及sendto函式地址。紧接着调用 gettickcount函式，利用其返回值产生一个随机数种子，并用此种子产生一个IP位址作为攻击对象；随后创建一个UDP socket，将自身代码传送到目的被攻击机器的1434连线埠，随后进入一个无限循环中，重複上述产生随机数计算ip地址，发动攻击一系列动作。

1、在打开江民反黑王并确认阻塞外部对内和内部对外的UDP/1434连线埠的访问。

如果该步骤实现有困难可使用边界防火墙或者路由器上或系统中的TCP-IP筛选来阻塞对本机UDP/1434连线埠的访问。

2、找到被感染的主机

在边界路由器（或者防火墙）上进行检查，也可启动网路监视程式（譬如Sniffer Pro）进行检查，找到网路中往目的连线埠为UDP/1434传送大量数据的主机，这些主机极为可能感染了该蠕虫。

如果不能确定，则认为所有运行Microsoft SQL Server 2000 而没有安装补丁程式的机器都是被感染的机器。

可以使用连线埠扫描程式对UDP/1434连线埠进行扫描来找到运行Microsoft SQL Server 2000的主机，但是由于UDP连线埠扫描并不準确，可以扫描TCP/1433连线埠找到运行SQL Server的主机。但需要注意的是，只有SQL Server 2000才会受到此蠕虫的感染。

3、拔掉被感染主机的网线。

4、重新启动所有被感染机器，以清除记忆体中的蠕虫。关闭SQL Server服务以防止再次被蠕虫感染。

5、插上被感染机器的网线

6、为被感染机器安装最新的Microsoft SQL Server 2000 Service Pack：

虽然Microsoft SQL Server 2000 SP2就已经解决了该问题，但考虑到在SP2之后又出现了一些严重安全问题，强烈建议安装Microsoft SQL Server 2000 SP3。

或者至少应该下载针对该漏洞的热修复补丁

注意：如果由于某种原因无法从网路下载补丁进行安装，因此可以在其他未被感染的主机上下载补丁，刻录在光碟或者保存在其他移动介质上，然后再到被感染的主机上进行安装。