关 闭

新闻中心

EEPW首页 > 安全与国防 > CTIMES/产业评析 > 新型态攻击模式病毒,专找SQL sever下手

新型态攻击模式病毒,专找SQL sever下手

作者:欧敏铨时间:2002-05-22来源:CTIMES收藏

昨(22)日发布JS_SPIDA.B的警讯,发现一种新型态特别针对 sever为攻击目标。此JavaScript蠕虫透过一种全新的传染途径,利用感染安装有Microsoft 之伺服器,并在被感染之伺服器内产生特定的档案,使得系统会将内部资料传送到一特定之邮件信箱,藉此窃取受害者的重要资料,另外,一旦此IP 成为攻击目标被感染之後,网路流量便会爆增,降低效能,而且会成为另一个随机产生IP位置而去散布病毒的工具。建议用户请小心并且即刻更新最新病毒码至289,并且扫瞄系统所有档案,将扫描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的档案全部删除。

本文引用地址:http://www.eepw.com.cn/article/183576.htm

此外,TrendLabs更进一步指出,根据分析报告,该病毒会利用其本身会随机产生的许多IP位置,并连线至这些IP位置之TCP port 1433(此为SQL server 使用的port)。也就是说,病毒随机产生的IP会去搜寻同时有SQL server 使用的port,搜寻到之後,它们便成为病毒下手攻击的目标,而细究其造成上述三个危害症状主因为,第一、该病毒会使用 "ipconfig /all" 指令取得被感染机器之所有网路设定资料并储存於SEND.TXT档案中,此外亦将执行PWDUMP2.EXE所产生的帐号、密码档案储存於同一份档案中。同时病毒使用CLEMAIL.EXE email软体将所产生的档案寄到IXLDT@POSTONE.COM此特定帐号中,其信件主旨为 "SyetemData"。

第二、这些被攻击的IP位置会产生10000个thread来存取该特定的port并建立10000个连线,使得网路流量增加,降低效能。第三、该病毒会将各IP所回应的资料存於RDATA.TXT中,并在该档案中搜寻“1433/tcp” 字串。如果某IP回应的资料中有此字串,则病毒会使用此IP及随机产生的密码当作叁数执行 SQLINSTALL.BAT(此批次档趋势科技侦测为BAT_SQLSPIDA.B),将病毒程式安装至使用该IP之机器上。此後,病毒会停止运作并伺机将RDATA.TXT 档案删除,再重新开始产生一新的IP位置进行攻击。也就是说,被攻击感染的伺服器也就成为下一个散布攻击病毒的源头。由此一传十、十传百已惊人速度散开来。

本文由 CTIMES 同意转载,原文链接:http://www.ctimes.com.tw/DispCols/cn/%E7%97%85%E6%AF%92/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/020522191923.shtmll



关键词: 病毒 趋势科技 SQL

评论


相关推荐

技术专区

关闭