VSantivirus No. 684 - Año 6 - Miércoles 22 de mayo de 2002
JS/SQLspida. Nuevo gusano afecta el rendimiento de SQL
http://www.vsantivirus.com/sqlspida.htm
Nombre: JS/SQLSpida
Tipo: Gusano de Internet
Alias: JS/SQLSpida.b.worm, BAT_SQLSPIDA.B,JS.Spida.B,JScript/SQLSpida.Worm,SQL Spida, JS_SQLSpida.B, Hacktool.IPStealer, SQLSnake, SQLSpida, MS SQL Worm
Variantes: JS/SQLSpida.A, JS/SQLSpida.B
Plataformas: Windows 32-bit, Microsoft SQL Server
Fuentes: NAI, Symantec, Trend, CA
Este gusano busca e infecta servidores SQL de Microsoft. Examina las respuestas a solicitudes al
puerto 1433 (usado por el servidor SQL por defecto), para detectar aquellos servidores vulnerables que usan una contraseña en blanco en la cuenta del administrador del sistema (SA).
Esta configuración debería cambiarse luego que se instala esta aplicación, pero son muchos los administradores de sistemas que ignoran esta mínima precaución de seguridad, por lo que existen innumerables sistemas vulnerables.
El acceso a un sistema sin contraseñas, deja habilitado el uso de varios procedimientos extendidos de los servidores SQL, uno de los cuáles
(XP_CMDSHELL), permite la ejecución de código en modo DOS, y es usado por el gusano para ejecutarse y propagarse.
Cuando se ejecuta, el gusano copia los siguientes archivos en el disco duro de la máquina infectada:
- \System32\Drivers\Services.exe
Este es el escaneador de puertos (TCP
1433), y es usado por el gusano para buscar otros servidores SQL vulnerables.
Archivo en JavaScript usado por el gusano para ejecutar comandos en la computadora remota (en modo línea de comandos a través del procedimiento
XP_CMDSHELL).
Utilidad que se ejecuta en modo línea de comandos, encargada del envío de un e-mail con información perteneciente al sistema infectado (direcciones IP, contraseñas, etc.), a la casilla de correo del autor del virus (hoy bloqueada por saturamiento).
Este código javascript ejecuta los códigos y comandos
SQLDIR.JS, IPCONFIG /ALL y PWDUMP
Esto redirecciona la salida de cada herramienta al archivo SEND.TXT. El contenido de
SEND.TXT es enviado en el mensaje a la dirección ixltd@postone.com (hoy bloqueada).
También agrega los siguientes valores a las claves del registro:
HKLM\System\CurrentControlSet\Services\NetDDE
ImagePath = "%COMSPEC% /c start netdde && sqlprocess init"
Start = "2"
HKLM\software\microsoft\mssqlserver\client\connectto
dsquery = "dbmssocn"
Copia el archivo "%SystemRoot%\System32\Regedt32.exe" a la siguiente ubicación:
%SystemRoot%\Regedt32.exe
Borra el archivo "%SystemRoot%\System32\Msver241.srq"
También busca otras computadoras vulnerables en redes cuyas direcciones IP comienzan por
10, 127, 172, o 192. Cuando encuentra una computadora con SQL vulnerable a la ejecución de código (sin contraseña por defecto), ejecuta el archivo
\SYSTEM32\SQLINSTALL.BAT, batch con el que instala el gusano en la computadora remota.
Este .BAT activa la cuenta de usuario
GUEST, y le pone una clave de cuatro caracteres seleccionados al azar. Luego agrega esta cuenta al grupo del Administrador y Administrador del dominio. También examina la presencia del archivo
\SYSTEM32\CSCRIPT.EXE.
Si lo encuentra, entonces comprueba si el gusano ha copiado el archivo
%SystemRoot%\system32\regedt32.exe en %SystemRoot%\regedt32.exe. Si esto se ha producido, asume que el gusano existe en esa máquina. De otra manera, procede a copiar los siguientes archivos al sistema compartido de la computadora remota.
\System32\Drivers\Services.Exe
\System32\Sqlexec.Js
\System32\Clemail.Exe
\System32\Sqlprocess.Js
\System32\Sqlinstall.Bat
\System32\Sqldir.Js
\System32\Run.Js
\System32\Timer.Dll
\System32\Samdump.Dll
\System32\Pwdump2.Exe
Después de la copia de estos archivos, cambia la contraseña de administración remota del SQL por una de cuatro caracteres al azar. Finalmente, ejecuta el archivo
SQLPROCESS.JS en la computadora remota.
Este script es usado por el gusano para coleccionar información del servidor SQL
Este archivo es usado para disparar la ejecución remota del gusano.
Es un contador de tiempo usado por el gusano.
Lo usa el gusano (y lo copia a las máquinas infectadas), pero no parece realizar ninguna acción maliciosa.
Es usado por el gusano para intentar el robo de las contraseñas de la máquina infectada.
Recomendaciones y eliminación del gusano
Las recomendaciones básicas para limpiar un sistema y protegerse son:
1. Bloquear el puerto 1433 con un cortafuegos (a través de ese puerto el gusano busca nuevas máquinas para infectar).
2. Actualizar con los parches de Microsoft para SQL Server, disponibles desde hace tiempo (ver
Referencias).
3. Bloquear el correo a la dirección ixltd@postone.com.
4. Deshabilitar la cuenta GUEST. Para ello, teclee lo siguiente desde la línea de comandos:
net user guest /active:no
5. Borrar el usuario GUEST de los grupos administrador y administrador de dominio. Para ello, teclee y ejecute los siguientes comandos:
net localgroup administrators guest /delete
net group "Domain Admins" guest /delete
6. Quitar TIMER.DLL de la memoria, Para ello, teclee lo siguiente desde la línea de comandos:
regsvr32 /u TIMER.DLL
7. Eliminar los archivos creados por el gusano en la computadora infectada. Para ello teclee la siguiente secuencia de comandos (Enter al final de cada línea). Cambie la variable
%SYSTEM% por el directorio correspondiente a su sistema, por ejemplo
C:\WinNT\System32 para Windows 2000 y NT, y C:\Windows\System para sistemas Windows 9x. Ejemplo:
"C:\WinNT\System32\drivers\ser" o "C:\Windows\System\drivers\ser"):
attrib -h %SYSTEM%\drivers\ser
attrib -h %SYSTEM%\sqlexec.js
attrib -h %SYSTEM%\clemail.exe
attrib -h %SYSTEM%\sqlprocess.
attrib -h %SYSTEM%\sqlinstall.
attrib -h %SYSTEM%\sqldir.js
attrib -h %SYSTEM%\run.js
attrib -h %SYSTEM%\timer.dll
attrib -h %SYSTEM%\samdump.dll
attrib -h %SYSTEM%\pwdump2.exe
del %SYSTEM%\drivers\services.exe
del %SYSTEM%\sqlexec.js
del %SYSTEM%\clemail.exe
del %SYSTEM%\sqlprocess.js
del %SYSTEM%\sqlinstall.bat
del %SYSTEM%\sqldir.js
del %SYSTEM%\run.js
del %SYSTEM%\timer.dll
del %SYSTEM%\samdump.dll
del %SYSTEM%\pwdump2.exe
Relacionados:
VSantivirus No. 686 -24/may/02
Herramienta para eliminar el SQLSnake (SQLSpida)
http://www.vsantivirus.com/util-sqlspida.htm
Referencias:
Information on securing your SQL server
http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q313418
VSantivirus No. 684 - 22/may/02
Ataque al puerto 1433 delata nuevo gusano de SQL
http://www.vsantivirus.com/22-05-02.htm
VSantivirus No. 508 - 28/nov/01
Virus: W32/Cblade.Worm. Descripción del gusano de SQL
http://www.vsantivirus.com/cblade-a.htm
VSantivirus No. 504 - 24/nov/01
La historia reciente del gusano de SQL
http://www.vsantivirus.com/24-11-01a.htm
VSantivirus No. 502 - 22/nov/01
Gusano de SQL aumenta su propagación 600% en seis horas
http://www.vsantivirus.com/22-11-01a.htm
VSantivirus No. 501 - 21/nov/01
Señal de alerta: un gusano que ataca servidores SQL
http://www.vsantivirus.com/21-11-01a.htm
VSantivirus No. 344 - 17/jun/01
Vulnerabilidad en Microsoft SQL Server (MS01-032)
http://www.vsantivirus.com/vulms01-032.htm
VSantivirus No. 311 - 15/may/01
Nuevo parche para SQL server 7.0
http://www.vsantivirus.com/vulms0035.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|