database.sarang.net
UserID
Passwd
Database
DBMS
MySQL
PostgreSQL
Firebird
Oracle
Informix
Sybase
ㆍMS-SQL
DB2
Cache
CUBRID
LDAP
ALTIBASE
Tibero
DB 문서들
스터디
Community
공지사항
자유게시판
구인|구직
DSN 갤러리
도움주신분들
Admin
운영게시판
최근게시물
MS-SQL News 390 게시물 읽기
 News | Q&A | Columns | Tutorials | Devel | Files | Links
No. 390
경보! 트로이목마 스피다 급속히 확산
작성자
백록화(rocka)
작성일
2002-05-22 14:21
조회수
10,992

MicrosoftSQL 서버의 취약점을 찾아 공격하는 바이러스가 발견되었습니다.

 

http://home.ahnlab.com/smart2u/virus_detail_977.html

 

를 참고하십시요. 아래 내용은 위 페이지의 일부 입니다.

 

그럼..

 

증상 - SQL 서버의 취약점을 이용하여 전파된다.

- 시스템 정보를 얻어 특정 메일 계정으로 발송한다.

- sa 계정의 비밀번호가 설정되어 있지 않은 시스템의 경우, sa 계정의 비밀번호를 임의로 변경한다.

 

내용 JS/Spida는 JS.Spida.B, JS_SQLSPIDA.B, JScript/SQLSpida.Worm 등으로 불리는 스크립트 웜으로 기존과 다른 변형으로 2002년 05년 21일 국내에서 세계처음 발견되었고 2002년 05월 21일 다수의 감염사례가 한국, 일본, 미국, 대만 등에서 보고 되었다. 안철수연구소는 다수의 사용자로부터 감염보고와 샘플을 접수 받았다.

 

전파방법

 

암호를 설정하지 않고 사용하고 있는 SQL 서버의 취약점을 이용하여 전파된다. 전파방법은 스크립트 내부에 정의된 일정대역의 IP 주소를 스캔하여 SQL 이 사용하는 1433 포트가 오픈된 시스템에 자신을 복사하고 실행된다.

 

감염된 서버에서 실행된 스크립트는 시스템 정보를 얻은 후 특정 메일 계정으로 발송한 후 취약성을 가진 다른 SQL 서버를 찾아 감염시킨다.

 

생성되는 파일들

 

감염된 시스템은 \Winnt\System32 폴더에 숨김속성으로 다음과 같은 파일을 생성한다.

 

sqlprocess.js ( 4,249 바이트 )

sqlexec.js ( 1,140 바이트 )

sqldir.js ( 4,701 바이트 )

run.js ( 243 바이트)

sqlinstall.bat ( 2,208 바이트)

 

같이 생성되는 몇몇 EXE 파일과 DLL 파일은 정상적인 유틸리티로 알려져있다.

 

이 정보는 2002년 05월 21일 14시 10분에 작성되었으며 이후 수정및 업데이트될 예정이다.

 

치료방법 - 2002년 5월 22일자 엔진에서 JS/Spida 로 진단하는 파일은 삭제한 후, 다음의 레지스트리 값을 수정한다.

 

(1) HKEY_LOCAL_MACHINE

\System

\CurrentControlSet

\Services

\NetDDE

\ImagePath 의 값을

%SystemRoot%\system32\netdde.exe 로 변경

 

(2) HKEY_LOCAL_MACHINE

\System

\CurrentControlSet

\Services

\NetDDE

\Start 의 값을 3 으로 변경

 

- admin 권한이 있는 다른 계정으로 접속하여, 임의의 비밀번호로 변경된 sa 계정의 비밀번호를 변경한다.

 

(3) 웜에 의해 생성되었지만 정상적인 파일이므로 백신에서 따로 진단, 삭제 하지 않는 파일은 다음과 같다.

 

\System32\Clemail.exe

\System32\Timer.dll

\System32\Samdump.dll

\System32\Pwdump2.exe

\System32\Drivers\Services.exe

 

위 파일들은 탐색기등에서 삭제해주면 된다.

[Top]
No.
제목
작성자
작성일
조회
700마이크로소프트 SQL 서버 2000의 'Resolution Service' 취약성
정재익
2003-01-26
13823
537MS SQL worm (Spida) 에 의한 해킹
정재익
2002-09-25
12891
451SQL Server의 설치 과정에서 시스템에 암호가 남을 수 있는 문제해결
정재익
2002-07-16
11564
390경보! 트로이목마 스피다 급속히 확산
백록화
2002-05-22
10992
Valid XHTML 1.0!
All about the DATABASE... Copyleft 1999-2019 DSN, All rights reserved.
작업시간: 0.095초, 이곳 서비스는
	PostgreSQL v11.5로 자료를 관리합니다