瑞星卡卡安全论坛

首页 » 个人产品讨论区 » 瑞星杀毒软件 » 瑞星全功能安全软件 » 最近使用瑞星及开启mssql的电脑联网要注意了~~!
湖北人民 - 2011-6-15 16:26:00
大概从6月7、8号开始。陆续发现安装有mssql的服务器中毒,包括毫无文件交流的异地一台windows xp安装的桌面版sql,开始典型的是在系统根目录下创建hex1.exe及osinter.exe。并且他完全可以废掉瑞星的杀毒及监控,等你反应过来的时候你会发现监控已经停止,即使进安全模式修复后点击杀毒,你的瑞星杀毒已经变成了一个一个弹出的浏览器窗口,病毒还自动更换dns服务器为8.8.8.8及8.8.4.4(也就是谷歌的免费dns服务器)。建立安全环境修复,并且安装最新版本瑞星任然无效。反复根瑞星工程师181,227等沟通,估计是我描述有问题,始终答复建立安全环境,修复系统漏洞,修复并且升级瑞星,我一直纳闷这几个工程师是机器人吧!
      没办法,没系统备份。只好从来,换了台新的服务器,安装windows2003,驱动,安装瑞星,打补丁,联网升级,全盘杀毒,屁事没有。安装sql2008后,病毒就开始了,不断的出现,瑞星也不断的杀,可就是杀不干净甚至许多文件我一看长相就知道是病毒,瑞星还是没反应。提交sreng扫描结果,提交瑞星听诊器扫描结果给瑞星工程师,答复是,正常。没办法,断掉服务器。杀毒,病毒总算安静了。今天上瑞星看了下安全周报,赶紧升级,查杀果然发现Trojan.Win32.Fednu.dad(后门木马结合体),并且很多以前没发现的。以为太平无事了,谁知道病毒越来越多,瑞星大有重蹈覆辙的危险,又赶忙根工程师联系,倒霉催的,又碰到181,悲催的结果不用说了。
    后来根据sql中毒的情况看了下,目前这病毒利用了sql的3389及1433端口,首先查找1433弱口令的主机(典型的sa为空口令,或者比较简单,又或者你的密码被人家用字典跑出来了),然后在你的系统下创建一个新的管理员账户(如图,yehuoo就是病毒新建的用户),远程协议及远程桌面下载病毒初始程序(说到这就恼火,跟瑞星说了这事,远程关闭后又自动打开,工程师回复,这事是系统设置的,改不了)。今天发现在这台电脑上发作的病xxx种,门类越来越齐全,算了,求工程师升级瑞星还不如自己动手。
      找了个卡卡上网安全助手,查看详细的进程跟联网程序,发现系统启动后首先运行360.exe,开启cmd窗口并运行ftp,自动连接hack2046.3322.org,自动下载它想要的(换了台电脑ping了下,果真有这台主机,地址是61.183.70.8好像是武汉电信的,估计也是人家的肉鸡)。然后在你的电脑上下载任意品种病毒,特别是on1433.exe,on1433.exe瑞星报未知木马,估计就是开1433端口的,并且用3389开远程。断开ftp的网络连接,这时候cmd就不停的在后台运行再开ftp,并且这时候ftp的指向变为27.184.24.139(河北的?),如果关掉cmd,360.exe及360sd.exe就不停的启动,估计是在试图再开cmd。瑞星对这些程序无动于衷,因为人家是正常运行的系统文件嘛。开始瑞星还能识别下载下来的病毒,到后来瑞星也懒得理病毒了,要不就是瑞星又被废了,要不就是病毒变种了,瑞星不认识。还有某个时候,不知道是什么病毒利用sethc.exe劫持系统,这病毒,人家都做成病毒的系统工程了,要是拿去对付越南,岂不扬我国威!
      女马白勺,找到这两个地址的主人不砍死他,又要拖累我重新做系统,哥对系统有点了解,对sql一无所知。还是希望各位大侠帮忙啊~~!(图片等会插,我没看怎么传图)

附件: 360.rar

附件: 360sd.rar

附件: xpserver.rar
networkedition - 2011-6-15 17:01:00
重新设置SQLserver的SA密码,建议设置健壮一些。如果你的sqlserver是弱口令很容易被入侵的。lz附件提供的样本瑞星不杀,应该是针对瑞星做了免杀处理,样本已收集反馈。
networkedition - 2011-6-15 17:03:00
另建议修改SQLSERVER默认的1433端口,及关闭系统远程桌面连接(如不使用)。另扫描sreng日志发来再诊断一下系统。
networkedition - 2011-6-21 10:17:00
1、文件名:360.exe

:)病毒名:Trojan.Win32.Fednu.dni


2、文件名:360.exe

:)病毒名:Trojan.Win32.Fednu.dni


3、文件名:360sd.exe

:)病毒名:Trojan.Win32.Fednu.dni

4、文件名:360sd.exe

:)病毒名:Trojan.Win32.Fednu.dni

1、文件名:regsvr32.exe 不是病毒

2、文件名:regsvr32.exe 不是病毒

3、文件名:regsvr32.exe 不是病毒

4、文件名:regsvr32.exe 不是病毒

5、文件名:瑞星日志.db 不是病毒

6、文件名:瑞星日志.db 不是病毒

7、文件名:360Tray.exe 不是病毒

8、文件名:360Tray.exe 不是病毒

9、文件名:360Tray.exe 不是病毒

10、文件名:360Tray.exe 不是病毒

11、文件名:rundll32.exe 不是病毒

12、文件名:rundll32.exe 不是病毒

13、文件名:rundll32.exe 不是病毒

14、文件名:rundll32.exe 不是病毒

15、文件名:DSMain.exe 不是病毒

16、文件名:DSMain.exe 不是病毒

17、文件名:DSMain.exe 不是病毒

18、文件名:DSMain.exe 不是病毒
1
查看完整版本: 最近使用瑞星及开启mssql的电脑联网要注意了~~!