Digispid.B.Worm, il virus dei server Sql

Un virus worm dedicato ai server Sql

Chiamato anche SQLSnake, non è un virus destinato agli utenti finali, ma rivolto in modo specifico ai server che utilizzano Microsoft Sql. E’ in rapida diffusione, pur essendo stato scoperto solo il 26 Maggio.

Il virus, di tipo Worm, è scritto in JavaSCript, attacca i sistemi che non hanno una password di amministrazione personalizzata.

Copia parecchi file nel computer infetto e modifica la password di amministratore Sql inserendone una di quattro caratteri casuali, impedendo quindi l’accesso ai legittimi amministratori.

Il virus entra in azione, ripetiamo, soltanto se l’account di amministratore del server Microsoft Sql è privo di password e sta funzionando con privilegio Administrator.

I file copiati dal virus nella cartella di sistema, in genere System32, sono numerosi e identificano in maniera inequivocabile l’infezione. Tra questi file, possiamo trovare in un sistema colpito da Digispid tali file:


Drivers\Services.exe
Sqlexec.js
Clemail.exe
Sqlprocess.js
Sqlinstall.bat
Sqldir.js
Run.js
Timer.dll
Samdump.dll
Pwdump2.exe

Oltre al cambiamento della password “sa” del server Sql, altri sintomi della presenza del virus sono: un intenso traffico in entrata ed in uscita verso la porta 1433, traffico Internet aumentato, invio della password utente del sistema operativo e informazioni sul server Sql all’indirizzo email ixtld@postone.com.

Per proteggere i sistemi da questo virus, oltre naturalmente ad usare un buon antivirus aggiornato, si dovrebbero filtrare a livello di firewall i pacchetti in entrata ed in uscita dalla porta 1433, verificare se vi è traffico postale verso l’indirizzo ixtld@postsonte.com e quelle con soggetto “SystemData-“ e, soprattutto, che tutti gli account Sql Server “sa” abbiano una password personalizzata.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome