A Microsoft SQL Server 7.0-ás verzióját futtató számítógépeket veszélyezteti a napokban felfedezett féregvírus. A Spida.a.worm, más néven SQLSnake a fertőzött szerverekről egy ingyenes, web-alapú email-címre küldi el a gépeken talált felhasználóneveket és jelszavakat. Szakértők szerint a vírus készítői a megszerzett jelszavakat arra használják, hogy belépjenek az adott szerverekre, és így bizalmas információkhoz férjenek hozzá. Bár a tárolt adatokat a féreg nem károsítja, az általa generált hálózati forgalom mégis veszélyes lehet.
Új, Microsoft SQL szervereket támadó féregvírus kezdte meg működését hétfőn - adta hírül a News.com. Az SANS biztonságtechnikai intézet weblapja, az Incidents.org azt jelentette, hogy a vírus - melyet ők SQLSnake-nek neveztek el - hétfőn 8,700, kedden pedig már csaknem 74 ezer szervert támadott meg. Eddig 2,450 szerver tekinthető fertőzöttnek. A vírust a Symantec Spida.a.worm néven kategorizálta. Az új vírusra először rendszergazdák figyeltek fel, mivel szokatlanul sok kapcsolódási kísérletet regisztráltak az 1433-as, az SQL-t futtató szerverek által használt portra.
Átveszi az irányítást
Amikor a vírus - mely egyébként JavaScript-ben íródott - bejut a rendszerbe, a guest account-ot hozzáadja az adminisztrátori csoporthoz, és átveszi a szerver felett az irányítást. A rendszergazdai belépéshez megad egy jelszót, emiatt többszörös fertőzések nem fordulhatnak elő. A vírus ezután egy ingyenes web-alapú email-címre elküldi a gépen talált felhasználóneveket és jelszavakat.
Elias Levy, a SecurityFocus biztonságtechnikai cég szakértője szerint a legtöbb támadás Amerikában és Koreában fordult elő. Hozzátette, hogy a vírus készítői a megszerzett jelszavakat valószínűleg arra használják, hogy belépjenek az adott szerverekre, és így bizalmas információkhoz jussanak hozzá.
Jelszó nélkül veszélyes
A féreg azokat a szervereket veszélyezteti, melyeken nincs telepítve a Microsoft által április végén kibocsátott biztonsági javítás, illetve a rendszergazdai belépéshez nem szükséges jelszó. Ezért csak az SQL 7.0-ás verziója érintett, a 2000-es kiadás ugyanis már nem engedélyezi a jelszó nélküli belépést. A helyzetet súlyosbítja, hogy az SQL szerver meglehetősen elterjedt, mivel számos e-commerce és webfejlesztő szoftvercsomagnak is része.
Bár a vírus nem károsítja a gépen tárolt adatokat, veszélyes mértékű forgalmat generálhat, amikor újabb célpontok után kutat. Elias Levy szerint azonban a terjedés hamarosan le fog lassulni, hiszen a féreg egyre kevesebb olyan szervert fog találni, mely két kritériumnak is megfelel: közvetlenül az internetre csatlakozik, illetve nincsen rajta admin jelszó. Hozzátette, hogy a vírus ellen egy jelszó megadásával a legegyszerűbb védekezni.
Kövesse az Indexet Facebookon is!
Követem!
