Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 24/5/2002
Den sidste uge har en ny orm spredt sig hastigt på internettet. Ormen scanner på port 1433 efter Microsoft SQL Server-maskiner, som ikke har en specificeret adgangskode.To pakker bliver afsendt via scanningen. Den første er et SQL handshake, den anden er et forsøg på at logge på SQL Serveren som brugeren SA uden adgangskode. Hvis ormen finder en sårbar server, giver den sig selv administrative privilegier ved at benytte en gæstekonto eller oprette en ny konto og ændrer derpå adgangskoden.
Ormen samler oplysninger såsom IP-adresser, som den kan finde på den inficerede SQL Servers netværk, samt maskinens adgangsfil fra registreringsdatabasen. Den sender disse informationer via email til en konto, som ormens skaber ifølge SecurityFocus sandsynligvis bestyrer. Kontoen, som befinder sig i Singapore, er dog allerede fyldt op.
Ormen er en JavaScript-orm, der har aliaser som Digispid.B.Worm, Spida m.fl. Den indeholder filerne:
SQLPROCESS.JS
SQLDIR.JS
SQLINSTALL.BAT
SQLEXEC.JS
Selvom ormen har ligheder med ormene Nimda og CodeRed, mener SecurityFocus ikke, at den vil sprede sig så meget som disse har gjort, idet langt færre maskiner kører med Microsoft SQL Server i forhold til Microsoft IIS. Risikoen er der dog stadig, idet SQL Server bliver installeret af flere af Microsofts client/server-løsninger. Derfor er der mange administratorer, som egentlig ikke er klar over, at deres maskiner kører SQL.
Læs DK-CERTs advarsel for videre information om sårbarheden.