Сетевой червь "Spida" отучает админов SQL-серверов от лени
24.05.2002 15:04
"Лаборатория Касперского" сообщает о появлении нового компьютерного червя, который рассылается через серверы с установленным сервером Microsoft SQL. Червь получает доступ к серверам, используя пароль пользователя "sa" (системный администратор), устанавливаемый по умолчанию при установке сервера. Иначе говоря, червь заражает только те серверы, где администратор не позаботился о смене пароля.
При запуске червь сканирует сеть и ищет компьютеры с доступным портом TCP 1433. Затем он пытается установить соединение с этим компьютером и войти в систему с учетной записью системного администратора. Если соединение проходит успешно, червь создает на атакуемой системе новую учетную запись пользователя Windows NT "sqlagentcmdexec", создает для нее случайный пароль и добавляет в группы "Administrators" и "Domain Admins". Далее червь получает доступные ресурсы для администратора на атакуемом компьютере и пытается копировать себя в папку "system32" каталога установки Windows.
После заражения червь устраняет уязвимость которая позволила ему пробраться на компьютер - устанавливает не пустой пароль учетной записи системного администратора. Затем червь запускает себя уже на атакуемом компьютере. Червь содержит строки текста внутри своего кода: "SQL Access v2.0", "Created 2001-2002 by Digital Spider".
Существует две модификации червя - Spida.a и Spida.b. В отличие от версии "a", эта версия использует для проникновения на компьютеры JavaScript (первая версия пользуется специальной утилитой "sqlpoke"). Версия "b" ищет брешь в системе безопасности для проникновения на атакуемые компьютеры. Кроме того, эта версия не добавляет новую учетную запись "sqlagentcmdexec" во время атаки. Вместо этого она устанавливает для пользователя "guest" права системного администратора.
Лаборатория Касперского
последние новости
24.05.2002 16:08 | Обмен акциями между совладельцами ФЭП и Lenta.ru...»
24.05.2002 15:56 | План спасения будет чертить суперкомпьютер...»
24.05.2002 15:04 | Сетевой червь "Spida" отучает админов SQL-серверов от лени...»
24.05.2002 14:34 | Баннер на весь экран...»
24.05.2002 14:31 | Рекламу в Рунете теперь можно оплатить любой кредиткой и электронными деньгами...»
24.05.2002 14:23 | Путевку на МКС так и не оценили по достоинству...»
24.05.2002 14:21 | РБК завершил работу над веб-сайтом компании "Аояма-Моторс"...»
24.05.2002 14:18 | Интернет-магазин издательства "Питер" запустил партнерскую программу...»
24.05.2002 14:12 | DataArt представила систему управления веб-контентом за $199...»
24.05.2002 13:20 | К врачу -- с рецептами из интернета...»
24.05.2002 13:18 | Hewlett-Packard представила объединенное семейство сверхплотных серверов...»
24.05.2002 12:25 | Создателей интернета наградили премией Принца Астурии...»
24.05.2002 12:13 | Линус Торвальдс против Билла Гейтса...»
24.05.2002 11:47 | SMS: вчера, сегодня, завтра...»
24.05.2002 10:44 | SAP для средних и малых предприятий...»
24.05.2002 10:19 | Баннер на весь экран...»
24.05.2002 09:29 | Овацию-2002 представит Inout.Ru...»
24.05.2002 09:17 | Новая "Искра" для новой элиты. "Связьинвест" решил возродить сеть связи советских руководителей...»
24.05.2002 09:14 | Yahoo закрывает почти все аукционные сайты в Европе и начинает сотрудничать с eBay...»
24.05.2002 08:07 | Nokia остается лидером...»
|
|
