设为首页
 使用说明   绿色通道 


 JScript/SQLSpida.B

字体:        | 上一篇 | 下一篇 发布: 03-27 13:23    作者: bug    来源:    查看: 203次

     感染长度:1,140 字节, 2,208字节, 4,249字节, 20,480 字节, 368,640字节, 32,768字节, 243字节, 36,864字节, 13,312字节, 4,701字节
    
    受影响系统:Windows, Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me
    
    病毒危害:
    
    1.删除文件:删除"%SystemRoot%system32msver241.srq" 文件;
    
    2.泄露机密数据:将受到威胁的服务器IP地址发送给黑客的电子邮件帐号;
    
    3.威胁安全设置:将SQL管理员Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码改为一由四个随机字母组成的字符串。
    
    病毒传播:
    
    1.端口:1433;
    
    2.感染目标:空SQL管理员密码的SQL服务器
    
    技术特征:
    
    这是一个能自我传播的网络蠕虫,专门攻击有漏洞的微软SQL Server TCP 1433端口,它会试图在SQL Server系统上安装本身并借以向外传播,从而进一步通过默认系统管理员SQL Service帐号威胁远程系统。
    
    此蠕虫是由一系列的DLL、 EXE、 BAT及JS文件构成,这些文件包含了一些IP/端口扫描及密码盗取工具。它会将这些文件拷贝至受感染计算机上,并将SQL管理员密码改为一由四个随机字母组成的字符串。
    
    蠕虫运行后:
    
    1.拷贝如下文件至本地硬盘:
    
    1)System32DriversServices.exe
    
    这是一个端口扫描程序,病毒用它来搜索存在漏洞的机器。
    
    2)System32Sqlexec.js
    
    一个JavaScript文件,用来在远程计算机上执行命令行功能。
    
    3)System32Clemail.exe
    
    一个命令行邮件工具,用来将IP地址及SQL数据以邮件的形式发送给病毒作者。
    
    4)System32Sqlprocess.js
    
    一个JavaScript 文件,执行病毒的一些功能,主要是如下功能:
    
    a.添加键值
    
    ImagePath %COMSPEC% /c start netdde && sqlprocess init
    
    Start 2
    
    至注册表
    
    HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetDDE"中;
    
    b.添加键值
    
    dsquery dbmssocn
    
    至注册表
    
    HKEY_LOCAL_MACHINEsoftwaremicrosoftmssqlserverclientconnectto中;
    
    c.拷贝文件%SystemRoot%System32Regedt32.exe至%SystemRoot%Regedt32.exe;
    
    d.删除文件%SystemRoot%System32Msver241.srq;
    
    该JavaScript病毒会将IP地址及SQL表格及行数据发送给病毒作者,同时搜索网络上IP地址不是以10, 127, 172, 或 192开头的且存在漏洞的机器,一旦找到它就会执行System32Sqlinstall.bat,该文件将病毒安装在远程电脑上。
    
    5)System32Sqlinstall.bat
    
    [iduba_page]该批处理文件激活guest用户帐号,将其帐号的密码设为四个随机字母组成的字符串,并将guest帐号添加至管理员及域管理组。
    
    随后,搜索System32Cscript.exe文件,若找到,便检查病毒是否已经将%SystemRoot%System32Regedt32.exe拷贝至SystemRoot%Regedt32.exe,若是的话此批处理文件会自动退出。否则,它会拷贝下列文件至远程计算机的默认系统共享目录下:
    
    System32DriversServices.exe
    
    System32Sqlexec.js
    
    System32Clemail.exe
    
    System32Sqlprocess.js
    
    System32Sqlinstall.bat
    
    System32Sqldir.js
    
    System32Run.js
    
    System32Timer.dll
    
    System32Samdump.dll
    
    System32Pwdump2.exe
    
    之后,修改远程SQL管理员密码为四个随机字母组成的字符串,最后触发远程计算机运行Sqlprocess.js文件。
    
    6)System32Sqldir.js
    
    一个JavaScript文件,用来从SQL Server上收集表格及行数据。
    
    7)System32Run.js
    
    JavaScript文件,用来触发远程计算机运行病毒。
    
    8)System32Timer.dll
    
    .dll文件,用来在被感染系统上登记,这是一个简单的记时器程序。
    
    9)System32Samdump.dll
    
    .dll文件,一个病毒拷贝至被感染机器上的文件,不执行什么恶意操作。
    
    10)System32Pwdump2.exe
    
    病毒利用此文件试图盗取被感染机器上的密码。
    
    2.此病毒将上述文件拷贝至本地硬盘后,将SQL管理员密码改为四个字母组成的字符串。
    


 

评分:0

我来说两句

专家列表

单击下列图标即可与专家进行实时沟通

广告

广告