病毒名称：JScript/SQLSpida.B

　　别名：Digispid.B.Worm（赛门铁克） , MSSQL Worm, Worm.SQL.Spida.b, Sqlsnake, JS.Sqlspida.B, JS/SQLSpida.js.b

　　病毒类型：JavaScript蠕虫

　　危害级别：中

　　传播速度：中

　　感染长度：1,140 字节, 2,208字节, 4,249字节, 20,480 字节, 368,640字节, 32,768字节, 243字节, 36,864字节, 13,312字节, 4,701字节

　　受影响系统：Windows, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

　　病毒危害：

　　1.删除文件：删除"%SystemRoot%system32msver241.srq" 文件；

　　2.泄露机密数据：将受到威胁的服务器IP地址发送给黑客的电子邮件帐号；

　　3.威胁安全设置：将SQL管理员Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码改为一由四个随机字母组成的字符串。

　　病毒传播：

　　1.端口：1433；

　　2.感染目标：空SQL管理员密码的SQL服务器

　　技术特征：

　　这是一个能自我传播的网络蠕虫，专门攻击有漏洞的微软SQL Server TCP 1433端口，它会试图在SQL Server系统上安装本身并借以向外传播，从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。

　　此蠕虫是由一系列的DLL、 EXE、 BAT及JS文件构成，这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上，并将SQL管理员密码改为一由四个随机字母组成的字符串。

　　蠕虫运行后：

　　1.拷贝如下文件至本地硬盘：

　　1）System32DriversServices.exe

　　这是一个端口扫描程序，病毒用它来搜索存在漏洞的机器。

　　2）System32Sqlexec.js

　　一个JavaScript文件，用来在远程计算机上执行命令行功能。

　　3）System32Clemail.exe

　　一个命令行邮件工具，用来将IP地址及SQL数据以邮件的形式发送给病毒作者。

　　4）System32Sqlprocess.js

　　一个JavaScript 文件，执行病毒的一些功能，主要是如下功能:

　　a.添加键值

　　ImagePath %COMSPEC% /c start netdde && sqlprocess init

　　Start 2

　　至注册表

　　HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetDDE"中；

　　b.添加键值

　　dsquery dbmssocn

　　至注册表

　　HKEY_LOCAL_MACHINEsoftwaremicrosoftmssqlserverclientconnectto中；

　　c.拷贝文件%SystemRoot%System32Regedt32.exe至%SystemRoot%Regedt32.exe；

　　d.删除文件%SystemRoot%System32Msver241.srq；

　　该JavaScript病毒会将IP地址及SQL表格及行数据发送给病毒作者，同时搜索网络上IP地址不是以10, 127, 172, 或 192开头的且存在漏洞的机器，一旦找到它就会执行System32Sqlinstall.bat,该文件将病毒安装在远程电脑上。

　　5）System32Sqlinstall.bat

　　[iduba_page]该批处理文件激活guest用户帐号，将其帐号的密码设为四个随机字母组成的字符串，并将guest帐号添加至管理员及域管理组。

　　随后，搜索System32Cscript.exe文件，若找到，便检查病毒是否已经将%SystemRoot%System32Regedt32.exe拷贝至SystemRoot%Regedt32.exe，若是的话此批处理文件会自动退出。否则，它会拷贝下列文件至远程计算机的默认系统共享目录下：

　　System32DriversServices.exe

　　System32Sqlexec.js

　　System32Clemail.exe

　　System32Sqlprocess.js

　　System32Sqlinstall.bat

　　System32Sqldir.js

　　System32Run.js

　　System32Timer.dll

　　System32Samdump.dll

　　System32Pwdump2.exe

　　之后，修改远程SQL管理员密码为四个随机字母组成的字符串，最后触发远程计算机运行Sqlprocess.js文件。

　　6）System32Sqldir.js

　　一个JavaScript文件，用来从SQL Server上收集表格及行数据。

　　7）System32Run.js

　　JavaScript文件，用来触发远程计算机运行病毒。

　　8）System32Timer.dll

　　.dll文件，用来在被感染系统上登记，这是一个简单的记时器程序。

　　9）System32Samdump.dll

　　.dll文件，一个病毒拷贝至被感染机器上的文件，不执行什么恶意操作。

　　10）System32Pwdump2.exe

　　病毒利用此文件试图盗取被感染机器上的密码。

　　2.此病毒将上述文件拷贝至本地硬盘后，将SQL管理员密码改为四个字母组成的字符串。