GUSANO

SQLSpida

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Worm.SQLSpida, SQLsnake, Digispid

Reportado el 20 de mayo de 2002, SQLSpida es un gusano escrito en JavaScript que se propaga a través de máquinas que ejecuten SQL Server de Microsoft. Utiliza para infectar el sistema la cuenta de administrador de sistema del servidor SQL creada por defecto durante su instalación (“sa”) con una password vacía o nula.

Variante SQLSpida.A, intenta acceder a servidores SQL con una cuenta de administrador "SA" sin contraseña, escaneando el puerto 1433 desde direcciones IP aleatorias. No escanea redes privadas de Clase A (10, 127, 172 y 192).

Si localiza un sistema vulnerable, el gusano modificará las contraseñas de usuario de las cuentas "sa" y "sqlagentcmdexec" configurando una igual para ambas de cuatro caracteres seleccionados al azar. La última cuenta también se añade a los grupos locales Administrator y Domain Admins.

SQLSpida.A también difunde a una dirección de correo electrónico gratuita registrada en Singapur, y en estos momentos colapsada, una lista de contraseñas capturadas desde el servidor atacado.

Por otra parte, el gusano copia los siguientes archivos en el directorio System32 de Windows:

sqlexec.exe
clemail.exe
sqlprocess.js
sqlinstall.bat
sqldir.js
run.js
timer.dll
samdump.dll
pwdump2.exe
y, el archivo services.exe, en el directorio System32\drivers\.

A continuación, SQLSpida.A escanea aleatoriamente redes de Clase C. Cuando haya infectado 10 sistemas se eliminará del host desde el cual comienza su difusión.

Variante SQLSpida.B, es bastante similar a la anterior. En lugar de utilizar la cuenta "sqlagentcmdexec", utiliza "guest", fija su contraseña y añade esta cuenta a los grupos locales Administrators y Domain Admins. Una vez infectado el sistema, esta cuenta se desactiva y se elimina de los grupos administrativos con el fin de ocultar la pista del gusano.

En esta ocasión, además de crear una clave de registro que asegure su ejecución en cada inicio del sistema, SQLSpida.B sustituye el archivo sqlexec.exe por sqlexec.js.

Además por supuesto de instalar una solución anti-virus lo más actualizada posible en el sistema, para prevenir la extensión de este nuevo código malicioso, se aconseja bloquear el acceso al puerto 1433, parchear todas las vulnerabilidades conocidas de los servidores SQL, bloquear la dirección de correo ixltd@postone.com (a la que el gusano envía el listado de contraseñas) y, en caso de dejar la cuenta de administrador activa, protegerla con una contraseña "fuerte".


Copyright © VIRUSPROT.COM