Der Virus infiziert SQL Server mit folgenden Dateien im "system32" Ordner:
sqlexec.js – veranlasst Befehle auf dem Remote System
sqlprocess.js – der Hauptpart des Virus
sqlinstall.bat – installiert den Virus im Remote System
sqldir.js – verbindet und sammelt Iinfos von der Remote SQL Datenbank.
run.js – führt einen Befehl aus.
Die folgenden Tools werden auch mit dem Virus kopiert:
clemail.exe – ein Tool zum Versenden von Emails
driversservices.exe – ein Port Scanner
timer.dll
samdump.dll - eine pwdump2 Komponente
pwdump2.exe- ein Tool, dass Passworte durcheinander bringt auf dem NT System.
Der Wurm sucht und sendet Infos von den Remote SQLServer Datenbanken an eine Emailadresse.
Technische Beschreibung:
Die Datei "sqlprocess.js" installiert sich als Service, der nach dem Neustart läuft, mit den Registry Keys:
"HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetDDEImagePath"
mit dem Wert "cmd.exe /c start netdde && sqlprocess init" und
"HKEY_LOCAL_MACHINESystemCurrentControlSetServicesNetDDEStart"
mit dem Wert "2".
Er sammelt in der Datei "send.txt" Infos über den lokalen Computer: IP Adressen, lokale Passwörter (durch das pwdump2.exe Tool) und Infos von lokalen Datenbanken (durch die Datei sqldir.js).
Er sendet die Infos, die er auf dem lokalen System gesammelt hat an "ixltd @ postone.com". Er schafft zufällige IP Adressen und versucht sie über Port 1433 (SQL Server connection) zu kontaktieren.
Er modifiziert den User Gast aus dem Remote System. Er deaktiviert den User Gast und löscht ihn aus der Gruppe "Local Admins" und der lokalen Gruppe "Administrators".
An
dieser Stelle bieten wir kostenlose Zusatzdienste zur Virenentfernung
an, wie z.B: Portscanner
der Portscanner dient dazu Ihre Firewall zu testen
Spyware-Scanner
Zeigt Ihnen kostenlos Schwachstellen auf Ihren PC. Removal
Tools
Zur Entfernung von Viren haben wir hier die kostenlose Downloadrubrik der
Viren-Removaltools.
