CUIDADO VIRUS SQL
Publicado por EDELRIO (540 intervenciones) el 16/12/2002 22:37:23
NOMBRE: SQLSpida
ALIAS: Worm.SQLSpida
ALIAS: SQLsnake, Digispid
SE ALINEA ESTE VIRUS COMO LA ALARMA LLANO 2 DEBAJO DEL RADAR F-seguro.
Para más información, vea: http://www.F-Secure.com/products/radar/
SQLSpida es un gusano que se separa entre las máquinas que funcionan el servidor de Microsoft SQL. El gusano utiliza la cuenta del administrador de sistema del servidor del SQL del defecto (" sa ") con una contraseña vacía para infectar el sistema.
Nota: Cambie la contraseña en su cuenta del SA fuerte y bloquee el acceso a su servidor del SQL del Internet público.
VARIANTE: SQLSpida.A
Tentativas de SQLSpida.A de encontrar las máquinas el funcionar del servidor del SQL con una cuenta " vacía " del sa, explorando el puerto 1433 de gamas al azar del IP ADDRESS. No explora las redes privadas de la clase A (10, 127, 172 y 192).
Si se encuentra una máquina vulnerable, el gusano cambiará " el sqlagentcmdexec " y " las contraseñas " iguales, contraseña al azar del usuario del sa de cuatro caracteres. " agregan " al usuario del sqlagentcmdexec también a ambos administradores y grupos locales de Admins del dominio.
El gusano también recoge la información sobre la máquina, tal como una descarga de los hashes de la contraseña del sistema, y los envía vía el email, propably al escritor del virus.
Copia archivos siguientes al directorio de System32 de Windows en el anfitrión a que infecta:
sqlexec.exe clemail.exe sqlprocess.js sqlinstall.bat sqldir.js run.js timer.dll samdump.dll pwdump2.exe
y el archivo siguiente al directorio de System32\drivers de Windows:
ALIAS: Worm.SQLSpida
ALIAS: SQLsnake, Digispid
SE ALINEA ESTE VIRUS COMO LA ALARMA LLANO 2 DEBAJO DEL RADAR F-seguro.
Para más información, vea: http://www.F-Secure.com/products/radar/
SQLSpida es un gusano que se separa entre las máquinas que funcionan el servidor de Microsoft SQL. El gusano utiliza la cuenta del administrador de sistema del servidor del SQL del defecto (" sa ") con una contraseña vacía para infectar el sistema.
Nota: Cambie la contraseña en su cuenta del SA fuerte y bloquee el acceso a su servidor del SQL del Internet público.
VARIANTE: SQLSpida.A
Tentativas de SQLSpida.A de encontrar las máquinas el funcionar del servidor del SQL con una cuenta " vacía " del sa, explorando el puerto 1433 de gamas al azar del IP ADDRESS. No explora las redes privadas de la clase A (10, 127, 172 y 192).
Si se encuentra una máquina vulnerable, el gusano cambiará " el sqlagentcmdexec " y " las contraseñas " iguales, contraseña al azar del usuario del sa de cuatro caracteres. " agregan " al usuario del sqlagentcmdexec también a ambos administradores y grupos locales de Admins del dominio.
El gusano también recoge la información sobre la máquina, tal como una descarga de los hashes de la contraseña del sistema, y los envía vía el email, propably al escritor del virus.
Copia archivos siguientes al directorio de System32 de Windows en el anfitrión a que infecta:
sqlexec.exe clemail.exe sqlprocess.js sqlinstall.bat sqldir.js run.js timer.dll samdump.dll pwdump2.exe
y el archivo siguiente al directorio de System32\drivers de Windows:
Valora esta pregunta
0