Spida.B, Digispid.B.Worm, JS/SQLSpider.B
Este gusano, es un Java Script y se propagó entre no pocos servidores SQL de Microsoft Windows NT/2000, el 22 de Mayo del 2002, debido a una vulnerabilidad en su configuración por defecto y al descuido de los administradores de Red que dejaron en blanco la clave de acceso o la clave por defecto SA (System Administrator) que es configurada en la instalación del sistema.
El gusano se trasmitió a través del puerto 1433, con los archivos SQLPROCESS.JS, SQLDIR.JS, SQLINSTALL.BAT y SQLEXEC.JS, los mismos que copian los siguientes archivos a la carpeta C:\Windows32, excepto el archivo SERVICES.EXE que es copiado a la carpeta C:\WINNT\System32\drivers, todos con atributo de "oculto".
RUN.JS
SERVICES.EXE
CLEMAIL.EXE (archivo real usado para
enviar información al creador del virus).
TIMER.DLL
PWDUMP2.EXE
SAMDUMP.DLL
El gusano emplea estos archivos para realizar tareas de búsqueda de puertos, establecer la conexión SQL para actuar como backdoor de control remoto, ejecutando comandos, para auto-enviar correo, modificar la cuenta "GUEST" (invitado) o borrarla, administrar remotamente el sistema infectado, mostrar las bases de datos, infectar las direcciones IP vulnerables, etc.
Afortunadamente, todas las extensiones de este gusano y sus archivos generados son detectados y eliminados por las rutinas heurísticas de PER ANTIVIRUS®
 |
Debido a que este gusano atacó los servidores SQL de Microsoft,
configurado por defecto, debido
a esa falla de seguridad en la herramienta de la autenticación de las claves
de acceso, pudo permitir al atacante ingresar al sistema con un
password en blanco, lo cual obligó a Microsoft a emitir un boletín.
Este boletín de seguridad de Microsoft fue publicado uno pocos días después que una empresa de software de seguridad detectara el peligro de este gusano que se estaba propagando en Internet. El atacante podía ejecutar cualquier acción en el sistema, tal como borrar la información, agregar cuentas de acceso con privilegios de administración o hasta poder reconfigurar el sistema. Pero un ataque exitoso requería la habilidad de ingresar al sistema, ya sea a través de la consola o de una sesión de terminal. |
Microsoft Corporation ha colocado en su portales los parches correspondientes:
- Windows NT 4.0:
http://www.microsoft.com/ntserver/nts/downloads/security/q320206/default.asp - Windows NT 4.0 Terminal Server Edition:
http://www.microsoft.com/ntserver/terminalserver/downloads/security/Q320206/default.asp - Windows 2000:
http://www.microsoft.com/windows2000/downloads/security/q320206/default.asp
Con relación a los archivos Spyware y Adware, acabamos de actualizar nuestro registro de virus y los últimos archivos espías y de publicidad no deseada. Para mayor información haga clic en esta imagen:
PER ANTIVIRUS® a partir de su versión 7.4, incluye una prestación, de uso opcional, para la detección y eliminación de archivos Spyware además del Adware, muy difundidos debido a la imperiosa necesidad de vender productos a través de Internet.
En caso que el usuario desee utilizar estos programas gratuitos, pese a cualquier riesgo y bajo su propia responsabilidad, no deberá hacer uso de esta nueva opción, ya que estos Freeware dejarán de funcionar.
PER ANTIVIRUS® versiones 7.4 y 7.5 con registro de virus al 24 de Mayo del 2002 detecta y elimina los últimos archivos Spyware y Adware de reciente aparición en Internet, además detecta y elimina este gusano del SQL Server de Microsoft.
