趋势科技昨(22)日发布JS_SQLSPIDA.B的病毒警讯,发现一种新型态病毒特别针对SQL sever为攻击目标。此JavaScript蠕虫病毒透过一种全新的传染途径,利用感染安装有Microsoft SQL之服务器,并在被感染之服务器内产生特定的档案,使得系统会将内部数据传送到一特定之邮件信箱,藉此窃取受害者的重要数据,另外,一旦此IP 成为攻击目标被感染之后,网络流量便会爆增,降低效能,而且会成为另一个随机产生IP位置而去散布病毒的工具。趋势科技建议用户请小心并且即刻更新最新病毒特征至289,并且扫瞄系统所有档案,将扫描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的档案全部删除。
此外,趋势科技TrendLabs更进一步指出,根据分析报告,该病毒会利用其本身会随机产生的许多IP位置,并联机至这些IP位置之TCP port 1433(此为SQL server 使用的port)。也就是说,病毒随机产生的IP会去搜寻同时有SQL server 使用的port,搜寻到之后,它们便成为病毒下手攻击的目标,而细究其造成上述三个危害症状主因为,第一、该病毒会使用 "ipconfig /all" 指令取得被感染机器之所有网络设定数据并储存于SEND.TXT档案中,此外亦将执行PWDUMP2.EXE所产生的账号、密码档案储存于同一份档案中。同时病毒使用CLEMAIL.EXE email软件将所产生的档案寄到[email protected]此特定账号中,其信件主旨为 "SyetemData"。
第二、这些被攻击的IP位置会产生10000个thread来存取该特定的port并建立10000个联机,使得网络流量增加,降低效能。第三、该病毒会将各IP所响应的数据存于RDATA.TXT中,并在该档案中搜寻“1433/tcp” 字符串。如果某IP响应的数据中有此字符串,则病毒会使用此IP及随机产生的密码当作参数执行 SQLINSTALL.BAT(此批处理文件趋势科技侦测为BAT_SQLSPIDA.B),将病毒程序安装至使用该IP之机器上。此后,病毒会停止运作并伺机将RDATA.TXT 档案删除,再重新开始产生一新的IP位置进行攻击。也就是说,被攻击感染的服务器也就成为下一个散布攻击病毒的源头。由此一传十、十传百已惊人速度散开来。