23 maja 2002

Worm.SQLSpida.A - wykorzystuje puste hasło

Jest to robak rozprzestrzeniający się w systemach, na których uruchomione jest oprogramowanie Microsoft SQL Server. Szkodnik wnika do systemu wykorzystując domyślne (puste) hasło konta "sa" (administrator systemu) serwera SQL.

Na początku swojej pracy robak skanuje Internet w poszukiwaniu komputerów, na których MS SQL Server korzysta z protokołu TCP oraz portu 1433. Po znalezieniu takiej maszyny wirus próbuje się zalogować na konto administratora (sa). Jeżeli logowanie powiedzie się szkodnik dodaje na atakowanym komputerze nowego użytkownika systemu Windows NT o nazwie "sqlagentcmdexec", ustawia dla niego losowe hasło i dodaje go do grup "Administratorzy" oraz "Administratorzy domen".

Następnym krokiem robaka jest próba zmapowania zasobów administratora zdalnego komputera i skopiowania się do instalacyjnego podkatalogu folderu Windows. Następnie wirus zmienia domyślne, puste hasło konta "sa" na zdalnej maszynie.

W kodzie robaka zapisany jest następujący tekst:

"SQL Access v2.0"
"Created 2001-2002 by Digital Spider"