Script Worm Alias - virusi dezinfectie referat





Alias: N/A
Tip: Script Worm
Descoperit: 22 mai 2002
Detectat: 22 mai 2002, 17:30 (GMT+2)
Raspandire: Redusa
Risc: Redus
NW: Necunoscut

Simptome:
Virusul infecteaza serverele SQL cu urmatoarele fisiere in directorul “system32”:
sqlexec.js – ruleaza comenzile pe un sistem la distanta sqlprocess.js – partea principala a virusului
sqlinstall.bat – instaleaza virusul pe un sistem la distanta
sqldir.js – conecteaza si colecteaza informatia de la o baza de date SQL la distanta
run.js – ruleaza o comanda .

Urmatoarele utilitare sunt de asemenea copiate cu virusul:
clemail.exe – acesta este un utilitar pentru trimiterea email-urilor
drivers\services.exe – un scanner pentru porturi
timer.dll
samdump.dll – o componenta pwdump2
pwdump2.exe – un utilitar care extrage parolele HASH de pe sistemele Win NT;

Virusul cauta si trimite informatia de la o baza de date a unui SQLServer la distanta la o adresa de email.

Descriere tehnica:
Fisierul “sqlprocess.js” se instaleaza ca un serviciu, astfel incat se ruleaza la repornirea sistemului.
Pentru acest lucru, virusul, scrie urmatoarea cheie in registrii:
"HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\ImagePath" cu valoarea
“cmd.exe /c start netdde && sqlprocess init” si
"HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\Start" cu valoarea“2”.

Virusul preia in fisierul “send.txt” informatii legate de calculatorul local: adresa IP, parole locale (prin utilitarul pwdump2.exe) si informatii din bazele de date locale (prin fisierul “sqldir.js”). Virusul trimite informatiile colectate de la sistemul local la adresa de email “ixltd @ postone.com”.
Virusul genereaza aleator adrese de IP si incearca sa se conecteze la aceste adrese prin portul 1433 (conexiunea serverului SQL). Daca conexiunea reuseste, virusul apeleaza fisierul batch “sqlinstall.bat” cu adresa de IP valabila, ca argument.
Fisierul “sqlinstall.bat” instaleaza virusul pe SQLServer-ul de la distanta. Virusul copiaza fisierele:
sqlexec.js
clemail.exe
sqlprocess.js
sqlinstall.bat
sqldir.js
run.js
drivers\services.exe
timer.dll
samdump.dll
pwdump2.exe
in directorul “system32” de la distanta.

Virusul modifica utilizatorul guest din sistemul de la distanta. Virusul dezactiveaza utilizatorul guest si il sterge din grupul “Local Admins” si din grupul local “Administrators”.

Dezinfectie:
- Stergeti toate fisierele infectate
- Dezinfectie automata: lasati BitDefender sa stearga fisierele infectate.


Analizat de:
Mihaela Stoian
BitDefender Virus Researcher














Copyright © Contact | Trimite referat


Ultimele referate adaugate
Mihai Beniuc
   - Mihai beniuc - „poezii"
Mihai Eminescu Mihai Eminescu
   - Mihai eminescu - student la berlin
Mircea Eliade Mircea Eliade
   - Mircea Eliade - Mioara Nazdravana (mioriţa)
Vasile Alecsandri Vasile Alecsandri
   - Chirita in provintie de Vasile Alecsandri -expunerea subiectului
Emil Girlenu Emil Girlenu
   - Dragoste de viata de Jack London
Ion Luca Caragiale Ion Luca Caragiale
   - Triumful talentului… (reproducere) de Ion Luca Caragiale
Mircea Eliade Mircea Eliade
   - Fantasticul in proza lui Mircea Eliade - La tiganci
Mihai Eminescu Mihai Eminescu
   - „Personalitate creatoare” si „figura a spiritului creator” eminescian
George Calinescu George Calinescu
   - Enigma Otiliei de George Calinescu - geneza, subiectul si tema romanului
Liviu Rebreanu Liviu Rebreanu
   - Arta literara in romanul Ion, - Liviu Rebreanu











Scriitori romani