После заражения все пароли пользователей, занесенные в реестр, пересылаются на некий адрес электронной почты. Пораженная машина используется в дальнейшем для поиска других незащищенных систем. Специалисты обнаружили червь по значительному возрастанию трафика Internet, свидетельствующего о сканировании порта 1433, который используется SQL Server. По данным SecurityFocus, счет зараженных систем идет на тысячи. Для защиты рекомендуется заблокировать доступ к порту 1433, проверить наличие администраторского пароля на SQL-сервере и отключить поддержку сетевых библиотек TCP/IP, если соответствующие протоколы не используются. Следует также проверить системы на наличие неиспользуемых копий SQL Server.

Поделитесь материалом с коллегами и друзьями