{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[],"affected_systems_content":"<p>Serveur de base de donn\u00e9es Microsoft  SQL Server.</p>","closed_at":"2002-06-04","content":"## Description\n\nSpida est un ver qui infecte les syst\u00e8mes Microsoft SQL Server dont le\nCompte de Service (Service Account aussi appel\u00e9 sa) ne poss\u00e8de pas de\nmot de passe, ce qui est la configuration par d\u00e9faut.\n\n  \nLa contamination des machines se fait en deux \u00e9tapes :\n\n-   balayage d'une plage d'adresses IP tir\u00e9e al\u00e9atoirement afin\n    d'identifier des syst\u00e8mes dont le port 1433/TCP (SQL Server) est\n    ouvert ;\n-   infection d'un serveur vuln\u00e9rable (compte sa sans mot de passe) : le\n    ver utilise la proc\u00e9dure stock\u00e9e \u00e9tendue xp_cmdshell pour ex\u00e9cuter\n    des commandes sur le syst\u00e8me cible.\n\nLe ver Spida collecte diff\u00e9rentes informations relatives au syst\u00e8me\ninfect\u00e9 (configuration r\u00e9seau, mot de passe, etc) qui seront envoy\u00e9 \u00e0\nune adresse m\u00e9l avant de rechercher d'autres serveurs vuln\u00e9rables \u00e0\ninfecter.\n\n  \nLa pr\u00e9sence des fichiers dont les noms suivent est l'indication de la\ncompromission du syst\u00e8me par le ver Spida :\n\n-   `%Windir%\\system32\\drivers\\services.exe`\n-   `%Windir%\\system32\\sqlprocess.js`\n-   `%Windir%\\system32\\sqlexec.js`\n-   `%Windir%\\system32\\sqldir.js`\n-   `%Windir%\\system32\\run.js`\n-   `%Windir%\\system32\\sqlinstall.bat`\n-   `%Windir%\\system32\\clemail.exe`\n-   `%Windir%\\system32\\pwdump2.exe`\n-   `%Windir%\\system32\\timer.dll`\n-   `%Windir%\\system32\\samdump.dll`\n\nTrois clefs sont cr\u00e9\u00e9es dans la base de registre :\n\n-   `HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\ImagePath`\n-   `HKLM\\System\\CurrentControlSet\\Services\\NetDDE\\Start`\n-   `HKLM\\software\\microsoft\\mssqlserver\\client\\connectto\\dsquery`\n\n## Contournement provisoire\n\nBloquer le port 1433/TCP au niveau du garde-barri\u00e8re afin d'emp\u00eacher\nl'exploitation de cette vuln\u00e9rabilit\u00e9 depuis l'Internet.\n\n## Solution\n\nLe compte sa doit poss\u00e9der un mot de passe. Attention : utiliser un mot\nde passe r\u00e9sistant \u00e0 l'attaque par force brute.\n\nNe pas oublier d'appliquer les diff\u00e9rents correctifs relatifs \u00e0\nMicrosoft SQL Server.\n","cves":[],"links":[{"title":"CERTA-2001-INF-005 \"Apparition de vers exploitant des    vuln\u00e9rabilit\u00e9s de MS-SQL Server\" :","url":"http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-005/index.html"},{"title":"Avis de McAfee \"JS/SQL.Spida.b.worm\" :","url":"http://vil.nai.com/vil/content/v_99499.htm"}],"reference":"CERTA-2002-ALE-006","revisions":[{"description":"version initiale.","revision_date":"2002-05-22T00:00:00.000000"},{"description":"correction du lien sur la note d'information dans la partie Documentation.","revision_date":"2002-06-04T00:00:00.000000"}],"risks":[{"description":"Compromission du syst\u00e8me"},{"description":"D\u00e9ni de service"}],"summary":"Un ver exploitant une faiblesse dans la configuration de Microsoft SQL\nServer (compte sa sans mot de passe) se propage sur l'Internet. Ce type\nde ver n'est pas nouveau (se r\u00e9f\u00e9rer \u00e0 la note d'information\nCERTA-2001-INF-005 \"Apparition de vers exploitant des vuln\u00e9rabilit\u00e9s de\nMS-SQL Server\").\n","title":"Propagation du ver Spida (Microsoft SQL Server)","vendor_advisories":[{"published_at":null,"title":"Alerte \"Microsoft SQL Spida Worm Propagation\" d'ISS","url":"http://www.iss.net/security_center/alerts/advise118.php"}]}