瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星全功能安全软件 最近使用瑞星及开启mssql的电脑联网要注意了~~!

1   1  /  1  页   跳转

[原创] 最近使用瑞星及开启mssql的电脑联网要注意了~~!

最近使用瑞星及开启mssql的电脑联网要注意了~~!

大概从6月7、8号开始。陆续发现安装有mssql的服务器中毒,包括毫无文件交流的异地一台windows xp安装的桌面版sql,开始典型的是在系统根目录下创建hex1.exe及osinter.exe。并且他完全可以废掉瑞星的杀毒及监控,等你反应过来的时候你会发现监控已经停止,即使进安全模式修复后点击杀毒,你的瑞星杀毒已经变成了一个一个弹出的浏览器窗口,病毒还自动更换dns服务器为8.8.8.8及8.8.4.4(也就是谷歌的免费dns服务器)。建立安全环境修复,并且安装最新版本瑞星任然无效。反复根瑞星工程师181,227等沟通,估计是我描述有问题,始终答复建立安全环境,修复系统漏洞,修复并且升级瑞星,我一直纳闷这几个工程师是机器人吧!
      没办法,没系统备份。只好从来,换了台新的服务器,安装windows2003,驱动,安装瑞星,打补丁,联网升级,全盘杀毒,屁事没有。安装sql2008后,病毒就开始了,不断的出现,瑞星也不断的杀,可就是杀不干净甚至许多文件我一看长相就知道是病毒,瑞星还是没反应。提交sreng扫描结果,提交瑞星听诊器扫描结果给瑞星工程师,答复是,正常。没办法,断掉服务器。杀毒,病毒总算安静了。今天上瑞星看了下安全周报,赶紧升级,查杀果然发现Trojan.Win32.Fednu.dad(后门木马结合体),并且很多以前没发现的。以为太平无事了,谁知道病毒越来越多,瑞星大有重蹈覆辙的危险,又赶忙根工程师联系,倒霉催的,又碰到181,悲催的结果不用说了。
    后来根据sql中毒的情况看了下,目前这病毒利用了sql的3389及1433端口,首先查找1433弱口令的主机(典型的sa为空口令,或者比较简单,又或者你的密码被人家用字典跑出来了),然后在你的系统下创建一个新的管理员账户(如图,yehuoo就是病毒新建的用户),远程协议及远程桌面下载病毒初始程序(说到这就恼火,跟瑞星说了这事,远程关闭后又自动打开,工程师回复,这事是系统设置的,改不了)。今天发现在这台电脑上发作的病xxx种,门类越来越齐全,算了,求工程师升级瑞星还不如自己动手。
      找了个卡卡上网安全助手,查看详细的进程跟联网程序,发现系统启动后首先运行360.exe,开启cmd窗口并运行ftp,自动连接hack2046.3322.org,自动下载它想要的(换了台电脑ping了下,果真有这台主机,地址是61.183.70.8好像是武汉电信的,估计也是人家的肉鸡)。然后在你的电脑上下载任意品种病毒,特别是on1433.exe,on1433.exe瑞星报未知木马,估计就是开1433端口的,并且用3389开远程。断开ftp的网络连接,这时候cmd就不停的在后台运行再开ftp,并且这时候ftp的指向变为27.184.24.139(河北的?),如果关掉cmd,360.exe及360sd.exe就不停的启动,估计是在试图再开cmd。瑞星对这些程序无动于衷,因为人家是正常运行的系统文件嘛。开始瑞星还能识别下载下来的病毒,到后来瑞星也懒得理病毒了,要不就是瑞星又被废了,要不就是病毒变种了,瑞星不认识。还有某个时候,不知道是什么病毒利用sethc.exe劫持系统,这病毒,人家都做成病毒的系统工程了,要是拿去对付越南,岂不扬我国威!
      女马白勺,找到这两个地址的主人不砍死他,又要拖累我重新做系统,哥对系统有点了解,对sql一无所知。还是希望各位大侠帮忙啊~~!(图片等会插,我没看怎么传图)

附件附件:

文件名:360.rar
下载次数:362
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-15 16:25:30
描述:rar

附件附件:

文件名:360sd.rar
下载次数:372
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-15 16:25:30
描述:rar

附件附件:

文件名:xpserver.rar
下载次数:381
文件类型:application/octet-stream
文件大小:
上传时间:2011-6-15 16:25:30
描述:rar

最后编辑湖北人民 最后编辑于 2011-06-15 16:27:29
分享到:
gototop
 

回复:最近使用瑞星及开启mssql的电脑联网要注意了~~!

重新设置SQLserver的SA密码,建议设置健壮一些。如果你的sqlserver是弱口令很容易被入侵的。lz附件提供的样本瑞星不杀,应该是针对瑞星做了免杀处理,样本已收集反馈。
gototop
 

回复:最近使用瑞星及开启mssql的电脑联网要注意了~~!

另建议修改SQLSERVER默认的1433端口,及关闭系统远程桌面连接(如不使用)。另扫描sreng日志发来再诊断一下系统。
gototop
 

回复 1F 湖北人民 的帖子

1、文件名:360.exe

:)病毒名:Trojan.Win32.Fednu.dni


2、文件名:360.exe

:)病毒名:Trojan.Win32.Fednu.dni


3、文件名:360sd.exe

:)病毒名:Trojan.Win32.Fednu.dni

4、文件名:360sd.exe

:)病毒名:Trojan.Win32.Fednu.dni

1、文件名:regsvr32.exe 不是病毒

2、文件名:regsvr32.exe 不是病毒

3、文件名:regsvr32.exe 不是病毒

4、文件名:regsvr32.exe 不是病毒

5、文件名:瑞星日志.db 不是病毒

6、文件名:瑞星日志.db 不是病毒

7、文件名:360Tray.exe 不是病毒

8、文件名:360Tray.exe 不是病毒

9、文件名:360Tray.exe 不是病毒

10、文件名:360Tray.exe 不是病毒

11、文件名:rundll32.exe 不是病毒

12、文件名:rundll32.exe 不是病毒

13、文件名:rundll32.exe 不是病毒

14、文件名:rundll32.exe 不是病毒

15、文件名:DSMain.exe 不是病毒

16、文件名:DSMain.exe 不是病毒

17、文件名:DSMain.exe 不是病毒

18、文件名:DSMain.exe 不是病毒
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT