Архив

Сетевой червь «Spida» заражает SQL-серверы

Компьютерный червь, рассылается через серверы с установленным сервером Microsoft SQL. Червь получает доступ к серверам, используя пароль пользователя «sa» (системноый администратор), устанавливаемый по умолчанию при установке сервера. При запуске червь сканирует сеть и ищет компьютеры с доступным портом TCP 1433. Затем он пытается установить соединение с этим компьютером и войти в систему с учетной записью системного администратора. Если соединение проходит успешно, червь создает на атакуемой системе новую учетную запись пользователя Windows NT
«sqlagentcmdexec», создает для нее случайный пароль и добавляет в группe «Administrators» и «Domain Admins». Далее червь получает доступные ресурсы для администратора на атакуемом компьютере и пытается копировать себя в папку «system32» каталога установки Windows. Червь закрывает уязвимость
которая позволила ему пробраться на компьютер. Для этого он устанавливает не пустой пароль учетной записи системного администратора. Затем червь запускает себя уже на атакуемом компьютере. Червь содержит строки текста внутри своего кода:

«SQL Access v2.0»
«Created 2001-2002 by Digital Spider»


Технические детали (Worm.SQL.Spida.a)

Для того, чтобы атаковать удаленные серверы, червь использует утилиту, первоначально известную как «sqlpoke». Эта утилита была написана неким «Xaphan». Главная компонента червя написана на языке Java Script. Она генерирует произвольные значения IP адреса и ищет уязвимые машины. Когда потенциально уязвимая система обнаружена, компонента запускает другой файл, который подключается к этой машине и копирует на нее код червя.
Червь также пытается отослать имена пользователей, пароли и список баз данных на сервере SQL по трем адресам электронной почты.


Worm.SQL.Spida.b

Новая версия червя была выявлена в странах юго-восточной азии и США. В отличие от версии «a», эта версия вместо утилиты «sqlpoke» использует JavaScript. Она ищет брешь в системе безопасности для проникновения на атакуемые компьютеры. Также эта версия не добавляет новую учетную запись «sqlagentcmdexec» во время атаки. Вместо этого она устанавливает для пользователя «guest» права системного администратора. Поменялся также адрес электронной почты на который отсылаются собраные пароли и названия баз данных. Теперь это единтсвенный адрес в домене «postone.com». В коде червя просматриваются строки комментариев:

«sqlinstall.bat v2.5»

«// sqlexec v1.1»

«// sqldir.js v1.01»

«// run.js v1.00»

«// sqlprocess v2.5»
«// Greetings to whole Symantec anti-virus department.»


Технические детали для Worm.SQL.Spida.b

Алгоритм перебора IP адресов был полностью переписан. Теперь вместо полностью произвольного выбора используется список предпочтений из 58 адресов. Этот список используется для определения первой цифры IP адреса.

С вероятностью 84% червь выбирает один из адресов из списка. Для второй цифры адреса выбирается случайное число, третья цифра это число от 1 до 255, четвертая число от 1 до 254. Для оставшихся 16% червь выбирает случайное число для первой цифры IP адреса. в диапазоне от 1 до 223. Таким образом червь может лучше и быстрее определить уязвимые системы. Это помогает ему быстро распространятся за короткое время.

Сетевой червь «Spida» заражает SQL-серверы

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике