新型態(tài)攻擊模式病毒，專(zhuān)找SQL sever下手

趨勢科技昨(22)日發(fā)布JS_SQLSPIDA.B的病毒警訊，發(fā)現一種新型態(tài)病毒特別針對SQL sever為攻擊目標。此JavaScript蠕蟲(chóng)病毒透過(guò)一種全新的傳染途徑，利用感染安裝有Microsoft SQL之伺服器，并在被感染之伺服器內產(chǎn)生特定的檔案，使得系統會(huì )將內部資料傳送到一特定之郵件信箱，藉此竊取受害者的重要資料，另外，一旦此IP 成為攻擊目標被感染之後，網(wǎng)路流量便會(huì )爆增，降低效能，而且會(huì )成為另一個(gè)隨機產(chǎn)生IP位置而去散布病毒的工具。趨勢科技建議用戶(hù)請小心并且即刻更新最新病毒碼至289，并且掃瞄系統所有檔案，將掃描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的檔案全部刪除。

此外，趨勢科技TrendLabs更進(jìn)一步指出，根據分析報告，該病毒會(huì )利用其本身會(huì )隨機產(chǎn)生的許多IP位置，并連線(xiàn)至這些IP位置之TCP port 1433(此為SQL server 使用的port)。也就是說(shuō)，病毒隨機產(chǎn)生的IP會(huì )去搜尋同時(shí)有SQL server 使用的port，搜尋到之後，它們便成為病毒下手攻擊的目標，而細究其造成上述三個(gè)危害癥狀主因為，第一、該病毒會(huì )使用 "ipconfig /all" 指令取得被感染機器之所有網(wǎng)路設定資料并儲存於SEND.TXT檔案中，此外亦將執行PWDUMP2.EXE所產(chǎn)生的帳號、密碼檔案儲存於同一份檔案中。同時(shí)病毒使用CLEMAIL.EXE email軟體將所產(chǎn)生的檔案寄到IXLDT@POSTONE.COM此特定帳號中，其信件主旨為 "SyetemData"。

第二、這些被攻擊的IP位置會(huì )產(chǎn)生10000個(gè)thread來(lái)存取該特定的port并建立10000個(gè)連線(xiàn)，使得網(wǎng)路流量增加，降低效能。第三、該病毒會(huì )將各IP所回應的資料存於RDATA.TXT中，并在該檔案中搜尋“1433/tcp” 字串。如果某IP回應的資料中有此字串，則病毒會(huì )使用此IP及隨機產(chǎn)生的密碼當作叁數執行 SQLINSTALL.BAT(此批次檔趨勢科技偵測為BAT_SQLSPIDA.B)，將病毒程式安裝至使用該IP之機器上。此後，病毒會(huì )停止運作并伺機將RDATA.TXT 檔案刪除，再重新開(kāi)始產(chǎn)生一新的IP位置進(jìn)行攻擊。也就是說(shuō)，被攻擊感染的伺服器也就成為下一個(gè)散布攻擊病毒的源頭。由此一傳十、十傳百已驚人速度散開(kāi)來(lái)。

本文由 CTIMES 同意轉載，原文鏈接:http://www.ctimes.com.tw/DispCols/cn/%E7%97%85%E6%AF%92/%E7%BD%91%E9%99%85%E5%AE%89%E5%85%A8%E7%B3%BB%E7%BB%9F/020522191923.shtmll