關(guān) 閉

新聞中心

EEPW首頁(yè) > 安全與國(guó)防 > CTIMES/產(chǎn)業(yè)評(píng)析 > 新型態(tài)攻擊模式病毒,專(zhuān)找SQL sever下手

新型態(tài)攻擊模式病毒,專(zhuān)找SQL sever下手

作者:歐敏銓 時(shí)間:2002-05-22 來(lái)源:CTIMES 收藏

昨(22)日發(fā)布JS_SPIDA.B的警訊,發(fā)現(xiàn)一種新型態(tài)特別針對(duì) sever為攻擊目標(biāo)。此JavaScript蠕蟲(chóng)透過(guò)一種全新的傳染途徑,利用感染安裝有Microsoft 之伺服器,并在被感染之伺服器內(nèi)產(chǎn)生特定的檔案,使得系統(tǒng)會(huì)將內(nèi)部資料傳送到一特定之郵件信箱,藉此竊取受害者的重要資料,另外,一旦此IP 成為攻擊目標(biāo)被感染之後,網(wǎng)路流量便會(huì)爆增,降低效能,而且會(huì)成為另一個(gè)隨機(jī)產(chǎn)生IP位置而去散布病毒的工具。建議用戶(hù)請(qǐng)小心并且即刻更新最新病毒碼至289,并且掃瞄系統(tǒng)所有檔案,將掃描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的檔案全部刪除。

本文引用地址:http://butianyuan.cn/article/183576.htm

此外,TrendLabs更進(jìn)一步指出,根據(jù)分析報(bào)告,該病毒會(huì)利用其本身會(huì)隨機(jī)產(chǎn)生的許多IP位置,并連線(xiàn)至這些IP位置之TCP port 1433(此為SQL server 使用的port)。也就是說(shuō),病毒隨機(jī)產(chǎn)生的IP會(huì)去搜尋同時(shí)有SQL server 使用的port,搜尋到之後,它們便成為病毒下手攻擊的目標(biāo),而細(xì)究其造成上述三個(gè)危害癥狀主因?yàn)?,第一、該病毒?huì)使用 "ipconfig /all" 指令取得被感染機(jī)器之所有網(wǎng)路設(shè)定資料并儲(chǔ)存於SEND.TXT檔案中,此外亦將執(zhí)行PWDUMP2.EXE所產(chǎn)生的帳號(hào)、密碼檔案儲(chǔ)存於同一份檔案中。同時(shí)病毒使用CLEMAIL.EXE email軟體將所產(chǎn)生的檔案寄到IXLDT@POSTONE.COM此特定帳號(hào)中,其信件主旨為 "SyetemData"。

第二、這些被攻擊的IP位置會(huì)產(chǎn)生10000個(gè)thread來(lái)存取該特定的port并建立10000個(gè)連線(xiàn),使得網(wǎng)路流量增加,降低效能。第三、該病毒會(huì)將各IP所回應(yīng)的資料存於RDATA.TXT中,并在該檔案中搜尋“1433/tcp” 字串。如果某IP回應(yīng)的資料中有此字串,則病毒會(huì)使用此IP及隨機(jī)產(chǎn)生的密碼當(dāng)作叁數(shù)執(zhí)行 SQLINSTALL.BAT(此批次檔趨勢(shì)科技偵測(cè)為BAT_SQLSPIDA.B),將病毒程式安裝至使用該IP之機(jī)器上。此後,病毒會(huì)停止運(yùn)作并伺機(jī)將RDATA.TXT 檔案刪除,再重新開(kāi)始產(chǎn)生一新的IP位置進(jìn)行攻擊。也就是說(shuō),被攻擊感染的伺服器也就成為下一個(gè)散布攻擊病毒的源頭。由此一傳十、十傳百已驚人速度散開(kāi)來(lái)。

本文由 CTIMES 同意轉(zhuǎn)載,原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E7%97%85%E6%AF%92/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/020522191923.shtmll



關(guān)鍵詞: 病毒 趨勢(shì)科技 SQL

評(píng)論


相關(guān)推薦

技術(shù)專(zhuān)區(qū)

關(guān)閉