Серверы атакованы трояном Eskiuel

Троян Eskiuel может повредить или распространиться на неправильно защищенных серверах баз данных.

Az Эскиуэль Троянец в первую очередь пытается заразить компьютеры, на которых также работает менеджер баз данных SQL Server. На обнаруженных компьютерах он сканирует сеть на наличие серверов, предоставляющих службы SQL Server. Если он их находит, то атакует их методами «грубой силы» и пытается получить доступ к базам данных, используя заранее определенные пароли. В случае успеха он загружает по FTP вредоносную программу, с помощью которой выполняет дальнейшие вредоносные действия. Троянец ослабляет защиту уже зараженных компьютеров с помощью различных пакетных файлов и пытается распространиться между SQL-серверами с помощью хранимых процедур.

При запуске троян Eskiuel выполняет следующие действия:

1. Создайте следующий файл или каталог:
   % System% \ dnary.mdb
   % System% \ ZeHin
2. Он загружает вредоносный файл в ранее созданный каталог через Интернет.
3. Удаляет следующие файлы:
   % System% \ ias \ dnary.mdb
   % System% \ ias \ ias.mdb
4. Изменяет права доступа к файлу% System% \ ftp.exe.
5. Измените следующую запись в базе данных регистрации:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Jet\4.0\Engines"SandBoxMode" = "3"
6. Он начинает поиск серверов, на которых работает SQL Server.
7. Если он находит такой сервер, он запускает против него атаку методом «грубой силы», чтобы получить доступ к базам данных. Для этого он пытается использовать предопределенные пароли.
8. Он запускает различные командные файлы в окне командной строки, что еще больше снижает уровень защиты зараженных компьютеров.
9. Используйте команду ftp, чтобы загрузить вредоносный файл через FTP.
10. Он пытается распространяться между SQL-серверами с помощью хранимых процедур.