EXAME.com (EXAME.com)
Da Redação
Publicado em 9 de outubro de 2008 às 12h36.
SÃO PAULO O vírus JS/SQLSpider-B, , também conhecido como Digispid.B.Worm, SQLSnake e MS SQL Worm, infecta servidores que rodam o banco de dados SQL Server 7.0, roubando senhas e dados. Segundo os especialistas, o vírus só invade instalações em que a senha do administrador do SQL Server é sa exatamente a chave-padrão que vem com o software.
Ao infectar o servidor, o vírus cria nove arquivos na pasta System32 do Windows (Sqlexe.js, Clemail.exe, Sqlprocess.js, Sqlinstall.js, Sqlinstall.bat, Sqldir.js, Run.js, Timer.dll, Samdump.dll e Pwdump2.exe) e um arquivo, Services.exe, na subpasta Drivers, dentro de System32.
Outro sinal da presença do invasor é uma excessiva movimentação na porta 1433, de dentro para fora do sistema. Por essa porta o responsável pelo vírus extrai informações armazenadas no banco de dados.
Para que o SQLSpider-B invada o sistema, também é necessário que o SQL Server esteja rodando com acesso administrativo. O padrão, nesse caso, é o banco de dados trabalhar num contexto de segurança de um usuário comum, sem direitos de administrador.
Por causa das condições de entrada do vírus senha-padrão e contexto inseguro , a Symantec conclui, com boa lógica, que o SQLSpider-B tem poucas chances de se espalhar. No entanto, talvez a empresa esteja enganada nesse ponto.
O SANS, instituto americano de segurança, informou esta semana que milhares de servidores haviam sido contaminados. Infelizmente, ainda é alta a desatenção com que os gerentes de sistemas tratam sistemas que devem ser protegidos. O SQL Spider-B ataca apenas o SQL Server 7.0. A versão 2000 passa incólume, apenas por um detalhe: ela força que o administrador mude a senha-padrão.