|
SQL服务器蠕虫病毒
|
| 专题综述 |
| |
 | 病毒名称:JScript/SQLSpida.B
别名:Digispid.B.Worm(赛门铁克) , MSSQL Worm, Worm.SQL.Spida.b, Sqlsnake, JS.Sqlspida.B, JS/SQLSpida.js.b
病毒类型:JavaScript蠕虫
危害级别:中
传播速度:中
感染长度:1,140 字节, 2,208字节, 4,249字节, 20,480 字节, 368,640字节, 32,768字节, 243字节, 36,864字节, 13,312字节, 4,701字节
受影响系统:Windows, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
病毒危害:
1.删除文件:删除"%SystemRoot%system32msver241.srq" 文件;
2.泄露机密数据:将受到威胁的服务器IP地址发送给黑客的电子邮件帐号;
3.威胁安全设置:将SQL管理员密码改为一由四个随机字母组成的字符串。
病毒传播:
1.端口:1433;
2.感染目标:空SQL管理员密码的SQL服务器 |
|
| |
这是一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。
此蠕虫是由一系列的DLL、 EXE、 BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
蠕虫运行后:
1.拷贝如下文件至本地硬盘:
1)System32\Drivers\Services.exe
这是一个端口扫描程序,病毒用它来搜索存在漏洞的机器。
2)System32\Sqlexec.js
一个JavaScript文件,用来在远程计算机上执行命令行功能。
3)System32\Clemail.exe
一个命令行邮件工具,用来将IP地址及SQL数据以邮件的形式发送给病毒作者。
4)System32\Sqlprocess.js
一个JavaScript 文件,执行病毒的一些功能,主要是如下功能:
a.添加键值
ImagePath %COMSPEC% /c start netdde && sqlprocess init
Start 2
至注册表
HKEY_LOCAL_MACHINE\System\CurrentControl\SetServices\NetDDE"中;
b.添加键值
dsquery dbmssocn
至注册表
HKEY_LOCAL_MACHINE\software\microsoft\mssqlserverclient\connectto中;
c.拷贝文件%SystemRoot%\System32\Regedt32.exe至%SystemRoot%\Regedt32.exe;
d.删除文件%SystemRoot%\System32\Msver241.srq;
该JavaScript病毒会将IP地址及SQL表格及行数据发送给病毒作者,同时搜索网络上IP地址不是以10, 127, 172, 或 192开头的且存在漏洞的机器,一旦找到它就会执行System32\Sqlinstall.bat,该文件将病毒安装在远程电脑上。
5)System32\Sqlinstall.bat
该批处理文件激活guest用户帐号,将其帐号的密码设为四个随机字母组成的字符串,并将guest帐号添加至管理员及域管理组。
随后,搜索System32\Cscript.exe文件,若找到,便检查病毒是否已经将%SystemRoot%System32\Regedt32.exe拷贝至SystemRoot%Regedt32.exe,若是的话此批处理文件会自动退出。否则,它会拷贝下列文件至远程计算机的默认系统共享目录下:
System32\Drivers\Services.exe
System32\Sqlexec.js
System32\Clemail.exe
System32\Sqlprocess.js
System32\Sqlinstall.bat
System32\Sqldir.js
System32\Run.js
System32\Timer.dll
System32\Samdump.dll
System32\Pwdump2.exe
之后,修改远程SQL管理员密码为四个随机字母组成的字符串,最后触发远程计算机运行Sqlprocess.js文件。
6)System32\Sqldir.js
一个JavaScript文件,用来从SQL Server上收集表格及行数据。
7)System32\Run.js
JavaScript文件,用来触发远程计算机运行病毒。
8)System32\Timer.dll
.dll文件,用来在被感染系统上登记,这是一个简单的记时器程序。
9)System32\Samdump.dll
.dll文件,一个病毒拷贝至被感染机器上的文件,不执行什么恶意操作。
10)System32\Pwdump2.exe
病毒利用此文件试图盗取被感染机器上的密码。
2.此病毒将上述文件拷贝至本地硬盘后,将SQL管理员密码改为四个字母组成的字符串。
|
|
|
|
| |
| [an error occurred while processing this directive] |
|
|
| 站内搜索 |
| [an error occurred while processing this directive] |
| 图片新闻 |
| [an error occurred while processing this directive] |
| 病毒短信 |
| [an error occurred while processing this directive] |
| |
| [an error occurred while processing this directive] |
| |
|
