Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

JS/SQLspida. Nuevo gusano afecta el rendimiento de SQL
 
VSantivirus No. 684 - Año 6 - Miércoles 22 de mayo de 2002

 JS/SQLspida. Nuevo gusano afecta el rendimiento de SQL
http://www.vsantivirus.com/sqlspida.htm

Nombre: JS/SQLSpida
Tipo: Gusano de Internet
Alias: JS/SQLSpida.b.worm, BAT_SQLSPIDA.B,JS.Spida.B,JScript/SQLSpida.Worm,SQL Spida, JS_SQLSpida.B, Hacktool.IPStealer, SQLSnake, SQLSpida, MS SQL Worm
Variantes: JS/SQLSpida.A, JS/SQLSpida.B
Plataformas: Windows 32-bit, Microsoft SQL Server
Fuentes: NAI, Symantec, Trend, CA

Este gusano busca e infecta servidores SQL de Microsoft. Examina las respuestas a solicitudes al puerto 1433 (usado por el servidor SQL por defecto), para detectar aquellos servidores vulnerables que usan una contraseña en blanco en la cuenta del administrador del sistema (SA).

Esta configuración debería cambiarse luego que se instala esta aplicación, pero son muchos los administradores de sistemas que ignoran esta mínima precaución de seguridad, por lo que existen innumerables sistemas vulnerables.

El acceso a un sistema sin contraseñas, deja habilitado el uso de varios procedimientos extendidos de los servidores SQL, uno de los cuáles (XP_CMDSHELL), permite la ejecución de código en modo DOS, y es usado por el gusano para ejecutarse y propagarse.

Cuando se ejecuta, el gusano copia los siguientes archivos en el disco duro de la máquina infectada:
  • \System32\Drivers\Services.exe

Este es el escaneador de puertos (TCP 1433), y es usado por el gusano para buscar otros servidores SQL vulnerables.

  • \System32\Sqlexec.js

Archivo en JavaScript usado por el gusano para ejecutar comandos en la computadora remota (en modo línea de comandos a través del procedimiento XP_CMDSHELL).

  • \System32\Clemail.exe

Utilidad que se ejecuta en modo línea de comandos, encargada del envío de un e-mail con información perteneciente al sistema infectado (direcciones IP, contraseñas, etc.), a la casilla de correo del autor del virus (hoy bloqueada por saturamiento).

  • \System32\Sqlprocess.js

Este código javascript ejecuta los códigos y comandos SQLDIR.JS, IPCONFIG /ALL y PWDUMP

Esto redirecciona la salida de cada herramienta al archivo SEND.TXT. El contenido de SEND.TXT es enviado en el mensaje a la dirección ixltd@postone.com (hoy bloqueada).

También agrega los siguientes valores a las claves del registro:

HKLM\System\CurrentControlSet\Services\NetDDE
ImagePath = "%COMSPEC% /c start netdde && sqlprocess init"
Start = "2"

HKLM\software\microsoft\mssqlserver\client\connectto
dsquery = "dbmssocn"

Copia el archivo "%SystemRoot%\System32\Regedt32.exe" a la siguiente ubicación:

%SystemRoot%\Regedt32.exe

Borra el archivo "%SystemRoot%\System32\Msver241.srq"

También busca otras computadoras vulnerables en redes cuyas direcciones IP comienzan por 10, 127, 172, o 192. Cuando encuentra una computadora con SQL vulnerable a la ejecución de código (sin contraseña por defecto), ejecuta el archivo \SYSTEM32\SQLINSTALL.BAT, batch con el que instala el gusano en la computadora remota.

  • \System32\Sqlinstall.bat

Este .BAT activa la cuenta de usuario GUEST, y le pone una clave de cuatro caracteres seleccionados al azar. Luego agrega esta cuenta al grupo del Administrador y Administrador del dominio. También examina la presencia del archivo \SYSTEM32\CSCRIPT.EXE.

Si lo encuentra, entonces comprueba si el gusano ha copiado el archivo %SystemRoot%\system32\regedt32.exe en %SystemRoot%\regedt32.exe. Si esto se ha producido, asume que el gusano existe en esa máquina. De otra manera, procede a copiar los siguientes archivos al sistema compartido de la computadora remota.

\System32\Drivers\Services.Exe
\System32\Sqlexec.Js
\System32\Clemail.Exe
\System32\Sqlprocess.Js
\System32\Sqlinstall.Bat
\System32\Sqldir.Js
\System32\Run.Js
\System32\Timer.Dll
\System32\Samdump.Dll
\System32\Pwdump2.Exe

Después de la copia de estos archivos, cambia la contraseña de administración remota del SQL por una de cuatro caracteres al azar. Finalmente, ejecuta el archivo SQLPROCESS.JS en la computadora remota.

  • \System32\Sqldir.js

Este script es usado por el gusano para coleccionar información del servidor SQL

  • \System32\Run.js

Este archivo es usado para disparar la ejecución remota del gusano.

  • \System32\Timer.dll

Es un contador de tiempo usado por el gusano.

  • \System32\Samdump.dll

Lo usa el gusano (y lo copia a las máquinas infectadas), pero no parece realizar ninguna acción maliciosa.

  • \System32\Pwdump2.exe

Es usado por el gusano para intentar el robo de las contraseñas de la máquina infectada.


Recomendaciones y eliminación del gusano

Las recomendaciones básicas para limpiar un sistema y protegerse son:

1. Bloquear el puerto 1433 con un cortafuegos (a través de ese puerto el gusano busca nuevas máquinas para infectar).

2. Actualizar con los parches de Microsoft para SQL Server, disponibles desde hace tiempo (ver Referencias).

3. Bloquear el correo a la dirección ixltd@postone.com.

4. Deshabilitar la cuenta GUEST. Para ello, teclee lo siguiente desde la línea de comandos:

net user guest /active:no

5. Borrar el usuario GUEST de los grupos administrador y administrador de dominio. Para ello, teclee y ejecute los siguientes comandos:

net localgroup administrators guest /delete
net group "Domain Admins" guest /delete

6. Quitar TIMER.DLL de la memoria, Para ello, teclee lo siguiente desde la línea de comandos:

regsvr32 /u TIMER.DLL

7. Eliminar los archivos creados por el gusano en la computadora infectada. Para ello teclee la siguiente secuencia de comandos (Enter al final de cada línea). Cambie la variable %SYSTEM% por el directorio correspondiente a su sistema, por ejemplo C:\WinNT\System32 para Windows 2000 y NT, y C:\Windows\System para sistemas Windows 9x. Ejemplo: "C:\WinNT\System32\drivers\ser" o "C:\Windows\System\drivers\ser"):

attrib -h %SYSTEM%\drivers\ser
attrib -h %SYSTEM%\sqlexec.js
attrib -h %SYSTEM%\clemail.exe
attrib -h %SYSTEM%\sqlprocess.
attrib -h %SYSTEM%\sqlinstall.
attrib -h %SYSTEM%\sqldir.js
attrib -h %SYSTEM%\run.js
attrib -h %SYSTEM%\timer.dll
attrib -h %SYSTEM%\samdump.dll
attrib -h %SYSTEM%\pwdump2.exe
del %SYSTEM%\drivers\services.exe
del %SYSTEM%\sqlexec.js
del %SYSTEM%\clemail.exe
del %SYSTEM%\sqlprocess.js
del %SYSTEM%\sqlinstall.bat
del %SYSTEM%\sqldir.js
del %SYSTEM%\run.js
del %SYSTEM%\timer.dll
del %SYSTEM%\samdump.dll
del %SYSTEM%\pwdump2.exe

Relacionados:

 VSantivirus No. 686 -24/may/02
Herramienta para eliminar el SQLSnake (SQLSpida)
http://www.vsantivirus.com/util-sqlspida.htm


Referencias:

Information on securing your SQL server
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418

VSantivirus No. 684 - 22/may/02
Ataque al puerto 1433 delata nuevo gusano de SQL
http://www.vsantivirus.com/22-05-02.htm

VSantivirus No. 508 - 28/nov/01
Virus: W32/Cblade.Worm. Descripción del gusano de SQL
http://www.vsantivirus.com/cblade-a.htm

VSantivirus No. 504 - 24/nov/01
La historia reciente del gusano de SQL
http://www.vsantivirus.com/24-11-01a.htm

VSantivirus No. 502 - 22/nov/01
Gusano de SQL aumenta su propagación 600% en seis horas
http://www.vsantivirus.com/22-11-01a.htm

VSantivirus No. 501 - 21/nov/01
Señal de alerta: un gusano que ataca servidores SQL
http://www.vsantivirus.com/21-11-01a.htm

VSantivirus No. 344 - 17/jun/01
Vulnerabilidad en Microsoft SQL Server (MS01-032)
http://www.vsantivirus.com/vulms01-032.htm

VSantivirus No. 311 - 15/may/01
Nuevo parche para SQL server 7.0
http://www.vsantivirus.com/vulms0035.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS