Alias: N/A
Tip: Script Worm
Descoperit: 22 mai 2002
Detectat: 22 mai 2002, 17:30 (GMT+2)
Raspandire: Redusa
Risc: Redus
NW: Necunoscut
Simptome:
Virusul infecteaza serverele SQL cu urmatoarele fisiere in directorul “system32”:
sqlexec.js – ruleaza comenzile pe un sistem la distanta sqlprocess.js – partea principala a virusului
sqlinstall.bat – instaleaza virusul pe un sistem la distanta
sqldir.js – conecteaza si colecteaza informatia de la o baza de date SQL la distanta
run.js – ruleaza o comanda .
Urmatoarele utilitare sunt de asemenea copiate cu virusul:
clemail.exe – acesta este un utilitar pentru trimiterea email-urilor
drivers\services.exe – un scanner pentru porturi
timer.dll
samdump.dll – o componenta pwdump2
pwdump2.exe – un utilitar care extrage parolele HASH de pe sistemele Win NT;
Virusul cauta si trimite informatia de la o baza de date a unui SQLServer la distanta la o adresa de email.
Descriere tehnica:
Fisierul “sqlprocess.js” se instaleaza ca un serviciu, astfel incat se ruleaza la repornirea sistemului.
Pentru acest lucru, virusul, scrie urmatoarea cheie in registrii:
"HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\ImagePath" cu valoarea
“cmd.exe /c start netdde && sqlprocess init” si
"HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\Start" cu valoarea“2”.
Virusul preia in fisierul “send.txt” informatii legate de calculatorul local: adresa IP, parole locale (prin utilitarul pwdump2.exe) si informatii din bazele de date locale (prin fisierul “sqldir.js”). Virusul trimite informatiile colectate de la sistemul local la adresa de email “ixltd @ postone.com”.
Virusul genereaza aleator adrese de IP si incearca sa se conecteze la aceste adrese prin portul 1433 (conexiunea serverului SQL). Daca conexiunea reuseste, virusul apeleaza fisierul batch “sqlinstall.bat” cu adresa de IP valabila, ca argument.
Fisierul “sqlinstall.bat” instaleaza virusul pe SQLServer-ul de la distanta. Virusul copiaza fisierele:
sqlexec.js
clemail.exe
sqlprocess.js
sqlinstall.bat
sqldir.js
run.js
drivers\services.exe
timer.dll
samdump.dll
pwdump2.exe
in directorul “system32” de la distanta.
Virusul modifica utilizatorul guest din sistemul de la distanta. Virusul dezactiveaza utilizatorul guest si il sterge din grupul “Local Admins” si din grupul local “Administrators”.
Dezinfectie:
- Stergeti toate fisierele infectate
- Dezinfectie automata: lasati BitDefender sa stearga fisierele infectate.
Analizat de:
Mihaela Stoian
BitDefender Virus Researcher