Script Worm Alias - virusi dezinfectie referat

Alias: N/A
Tip: Script Worm
Descoperit: 22 mai 2002
Detectat: 22 mai 2002, 17:30 (GMT+2)
Raspandire: Redusa
Risc: Redus
NW: Necunoscut

Simptome:
Virusul infecteaza serverele SQL cu urmatoarele fisiere in directorul “system32”:
sqlexec.js – ruleaza comenzile pe un sistem la distanta sqlprocess.js – partea principala a virusului
sqlinstall.bat – instaleaza virusul pe un sistem la distanta
sqldir.js – conecteaza si colecteaza informatia de la o baza de date SQL la distanta
run.js – ruleaza o comanda .

Urmatoarele utilitare sunt de asemenea copiate cu virusul:
clemail.exe – acesta este un utilitar pentru trimiterea email-urilor
drivers\services.exe – un scanner pentru porturi
timer.dll
samdump.dll – o componenta pwdump2
pwdump2.exe – un utilitar care extrage parolele HASH de pe sistemele Win NT;

Virusul cauta si trimite informatia de la o baza de date a unui SQLServer la distanta la o adresa de email.

Descriere tehnica:
Fisierul “sqlprocess.js” se instaleaza ca un serviciu, astfel incat se ruleaza la repornirea sistemului.
Pentru acest lucru, virusul, scrie urmatoarea cheie in registrii:
"HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\ImagePath" cu valoarea
“cmd.exe /c start netdde && sqlprocess init” si
"HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\Start" cu valoarea“2”.

Virusul preia in fisierul “send.txt” informatii legate de calculatorul local: adresa IP, parole locale (prin utilitarul pwdump2.exe) si informatii din bazele de date locale (prin fisierul “sqldir.js”). Virusul trimite informatiile colectate de la sistemul local la adresa de email “ixltd @ postone.com”.
Virusul genereaza aleator adrese de IP si incearca sa se conecteze la aceste adrese prin portul 1433 (conexiunea serverului SQL). Daca conexiunea reuseste, virusul apeleaza fisierul batch “sqlinstall.bat” cu adresa de IP valabila, ca argument.
Fisierul “sqlinstall.bat” instaleaza virusul pe SQLServer-ul de la distanta. Virusul copiaza fisierele:
sqlexec.js
clemail.exe
sqlprocess.js
sqlinstall.bat
sqldir.js
run.js
drivers\services.exe
timer.dll
samdump.dll
pwdump2.exe
in directorul “system32” de la distanta.

Virusul modifica utilizatorul guest din sistemul de la distanta. Virusul dezactiveaza utilizatorul guest si il sterge din grupul “Local Admins” si din grupul local “Administrators”.

Dezinfectie:
- Stergeti toate fisierele infectate
- Dezinfectie automata: lasati BitDefender sa stearga fisierele infectate.

Analizat de:
Mihaela Stoian
BitDefender Virus Researcher

ECoduri.com - Coduri postale - adresa, caen, cor

Politica de confidentialitate

	Ultimele referate adaugate
	Adrian Suciu - Primara
	Mihai Eminescu - Opere romantice - autori si opere reprezentative Gioacchino Rossini, Giuseppe Verdi, Richard Wagner
	Mihai Beniuc - Mihai beniuc - „poezii"
	Mihai Eminescu - Mihai eminescu - student la berlin
	Mircea Eliade - Mircea Eliade - Mioara Nazdravana (mioriţa)
	Vasile Alecsandri - Chirita in provintie de Vasile Alecsandri -expunerea subiectului
	Emil Girlenu - Dragoste de viata de Jack London
	Ion Luca Caragiale - Triumful talentului… (reproducere) de Ion Luca Caragiale
	Mircea Eliade - Fantasticul in proza lui Mircea Eliade - La tiganci
	Mihai Eminescu - „Personalitate creatoare” si „figura a spiritului creator” eminescian

Scriitori romani