小心伺服器上的重要資料庫遭病毒竊取、遙控
趨勢科技今日22發佈JS_SQLSPIDA.B的病毒警訊,發現一種新型態病毒特別針對SQL sever為攻擊目標。此JavaScript蠕蟲病毒透過一種全新的傳染途徑,利用感染安裝有Microsoft SQL之伺服器,並在被感染之伺服器內產生特定的檔案,使得系統會將內部資料傳送到一特定之郵件信箱,藉此竊取受害者的重要資料,另外,一旦此IP 成為攻擊目標被感染之後,網路流量便會爆增,降低效能,而且會成為另一個隨機產生IP位置而去散佈病毒的工具。趨勢科技建議用戶請小心並且即刻更新最新病毒碼至289,並且掃瞄系統所有檔案,將掃描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的檔案全部刪除。
此外,趨勢科技TrendLabs更進一步指出,根據分析報告,該病毒會利用其本身會隨機產生的許多IP位置,並連線至這些IP位置之TCP port 1433(此為SQL server 使用的port)。也就是說,病毒隨機產生的IP會去搜尋同時有SQL server 使用的port,搜尋到之後,它們便成為病毒下手攻擊的目標,而細究其造成上述三個危害症狀主因為,第一、該病毒會使用 "ipconfig /all" 指令取得被感染機器之所有網路設定資料並儲存於SEND.TXT檔案中,此外亦將執行PWDUMP2.EXE所產生的帳號、密碼檔案儲存於同一份檔案中。同時病毒使用CLEMAIL.EXE email軟體將所產生的檔案寄到IXLDT@POSTONE.COM此特定帳號中,其信件主旨為 “SyetemData”。第二、這些被攻擊的IP位置會產生10000個thread來存取該特定的port並建立10000個連線,使得網路流量增加,降低效能。第三、該病毒會將各IP所回應的資料存於RDATA.TXT中,並在該檔案中搜尋“1433/tcp” 字串。如果某IP回應的資料中有此字串,則病毒會使用此IP及隨機產生的密碼當作參數執行 SQLINSTALL.BAT(此批次檔趨勢科技偵測為BAT_SQLSPIDA.B),將病毒程式安裝至使用該IP之機器上。此後,病毒會停止運作並伺機將RDATA.TXT 檔案刪除,再重新開始產生一新的IP位置進行攻擊。也就是說,被攻擊感染的伺服器也就成為下一個散佈攻擊病毒的源頭。由此一傳十、十傳百已驚人速度散開來。
解決方案:
請更新病毒碼至289並掃瞄系統所有檔案,將掃瞄到感染BAT_SQLSPIDA.B and JS_SQLSPIDA.B. 之檔案全部刪除。如果在您的機器上有偵測到該病毒,趨勢科技建議您再執行下列步驟:
1.取消來賓(guest)帳號,如果因此病毒而無法取消該帳號的話,請使用下列方法在命令提示字元模式
下取消該帳號:net user guest /active:no
2.將 本機管理者群組 和 網域管理者群組中之來賓帳號(guest)移除,可請使用下列方法在命令提示字元 模式下取消該帳號· net localgroup administrators guest /delete · net group “Domain Admins” guest /delete
3. 在命令提示字元模式下執行下列指令,將TIMER.DLL從memory中移除:regsvr32 /u TIMER.DLL
4.在命令提示字元模式下執行下列指令,移除所有病毒產生的檔案:
· attrib -h %SysDir%\drivers\ser
· attrib -h %SysDir%\sqlexec.js
· attrib -h %SysDir%\clemail.exe
· attrib -h %SysDir%\sqlprocess.
· attrib -h %SysDir%\sqlinstall.
· attrib -h %SysDir%\sqldir.js
· attrib -h %SysDir%\run.js
· attrib -h %SysDir%\timer.dll
· attrib -h %SysDir%\samdump.dll
· attrib -h %SysDir%\pwdump2.exe
· del %SysDir%\drivers\services.exe
· del %SysDir%\sqlexec.js
· del %SysDir%\clemail.exe
· del %SysDir%\sqlprocess.js
· del %SysDir%\sqlinstall.bat
· del %SysDir%\sqldir.js
· del %SysDir%\run.js
· del %SysDir%\timer.dll
· del %SysDir%\samdump.dll
· del %SysDir%\pwdump2.exe
附註: 上述之 %SysDir% 通常是 C:\Windows\System or C:\WinNT\System32.
這隻病毒若有其他資訊, 我們會持續更新台灣趨勢網站, 請隨時注意網站內容
此外趨勢科技也建議用戶採用「ServerProtect檔案伺服器防毒軟體」,是有效的內部網路防毒管理應用軟體,可以有效地捍衛檔案伺服器和網域內的資訊安全,免於電腦病毒的攻擊,並且能利用新一代的防毒中央管理軟體(TVCS)特色,讓管理者從單一的主控台來安裝並且管理 ServerProtect。「ServerProtect檔案伺服器防毒軟體」目前可支援如:Windows NT/2000、NetWare、RedHat Linux等多種平台。
相關網站:
趨勢科技 http://www.trendmicro.com.tw/
電腦安全
,
電腦基礎
-
發表文章
沒有留言:
張貼留言