-
Junior Member
- Вес репутации
- 58
Win32:Beagle-gen@mail - как лечить?!
Доброго дня! Подцепили вирус в SQL-базу, непонятно каким образом. Методом тыка (последовательно проверкой avast4) каждой таблицы в виде отдельной базы выявилась зараженная таблица. Avast4 опознает троян как Win32:Beagle-gen@mail , но говорит, что вылечить не может, только удалить. А удалять таблицу нельзя, это огромный sql-архив.
Поставили outpost, но похоже, уже поздно. Или был произведен SQL-injection...
Произвели проверку единственно мемо-поля, куда можно было запостить какую-нибудь гадость типа скриптинка и т.п. (поиск по LIKE на разные служебные слова, теги - ничего не дал).
Скажите, каким образом там может сидеть вирус, где, чем он опасен и, главное, как таблицу вылечить, оставив ее живой? Размер файла MDF порядка 200 мег. (он и заражен)
Утилита AVZ этот вирус не видит, хотя была напущена с расширенным анализом на директорию Microsoft SQL Server и т.п.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Что-то мне сдаётся, что это очередное ложное срабатывание Аваста. Червяк, проживающий в SQL-базе - это слишком экзотично. А ведь кто-то ещё должен его оттуда доставать, иначе он так и будет лежать мёртвым трупом.
А вообще - выполните правила, посмотрим.
-
-
Junior Member
- Вес репутации
- 58
Попробую...
Но аваст я иногда запускала на полное сканирование, и он никогда не ругался раньше этим трояном, и тем более - на SQL-base 8(
-
Junior Member
- Вес репутации
- 58
Сообщение от
pig
Что-то мне сдаётся, что это очередное ложное срабатывание Аваста. Червяк, проживающий в SQL-базе - это слишком экзотично. А ведь кто-то ещё должен его оттуда доставать, иначе он так и будет лежать мёртвым трупом.
Все оказалось не так просто. Я создала для зараженной таблицы отдельную базу и стала удалять из нее записи частями, надеясь отловить "вредоносный" сектор. Исходно было 182 147 записей,
Размер MDF 198 170 688
Размер LDF 11 468 800
После каждого удаления я праверяла данные прогой аваст 4.8 (напоминаю, что AVZ этот вирус не видит)
После удаления третьего пакета (когда количество в таблице уменшилось до 24 912)
аваст неожиданно завил, что теперь заражен еще и log!!!! (файл ldf) Что навело меня на мысль, что дело не в записях... И что вирус отрабатывает после запуска SQL Server Manager или SQL Server Explorer (видимо)
Но дальше самый прикол!!
Размер mdf после всех удалений остался тот же! А лог раздулся до нечеловеческих размеров
Размер MDF 198 170 688
Размер LDF 361 693 184 !!!!......
Вот вам и "слишком экзотично" (
Тогда я удалила все оставшиеся записи в таблице. Вирус остался в обоих файлах, а размеры не потревожились.
И напоследок хочу уточнить у уважаемых спецов о "Правилах". Там написано, что, что во время работы AVZ все должно быть закрыто, и должен быть открыт браузер (стало быть, и Интернет открыт?!). Но как же я отключу файерволл, если ко мне долбятся без конца, он вечно отбивает какие-то атаки! Пока AVZ работает, я опять нахватаю всякой дряни. Что это за странное условие?
ЗЫ: заразные файлы могу выслать, но не знаю как - очень большие.
-
В свойствах базы поставьте птицу AutoShrink - лог должен сдуться.
Какая структура у таблицы? Если там нет BLOB-полей, то и зверя в таблице точно нет, а антивирус срабатывает на случайно совпавшую комбинацию данных. Лет двенадцать назад наблюдал, как Dr.Web обнаруживал вирусы в обычных текстовых файлах (в plain text, дело было во времена DOS, никакими макровирусами не пахло, Word был большой экзотикой).
А, посмотрел повнимательнее. Memo-поле, говорите? Посмотрите, есть ли записи, где содержимое этого поля начинается на MZ. Бигль - не скрипт, двоичный файл, приложение Windows.
Всё равно не понимаю, зачем его в базу запихивать. Он же сам оттуда не выпрыгнет, его кто-то вынуть должен.
Последний раз редактировалось pig; 10.06.2008 в 01:56.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
pig
В свойствах базы поставьте птицу AutoShrink - лог должен сдуться.
Ок. Но как быть с размером? Я же ВСЕ записи удалила, а размер сотался 200 мег!
Сообщение от
pig
А, посмотрел повнимательнее. Memo-поле, говорите? Посмотрите, есть ли записи, где содержимое этого поля начинается на MZ.
Тык все убила же, говорю... таблица пустая! А сканируется все равно как зараженная. И MZ, понятно, там уже быть не может.... count=0... но размер = 200 мег!!! Ничего не понимаю.
Сообщение от
pig
Бигль - не скрипт, двоичный файл, приложение Windows.
Всё равно не понимаю, зачем его в базу запихивать. Он же сам оттуда не выпрыгнет, его кто-то вынуть должен.
У меня впечатление, что я видела такую феню, как ее пишут. Я делала скрипт-ловушку, записывающую всякие подозрительные данные и спам, и нескольо раз через POST, возможно, что-то куда-то проникло, через дыру в asp-скрипте форума.
Выглядело это так: declare... тыр-тыр-тып.. далее бинарная структура тела из циферок, разделенных вроде вертикальными палочками, потом ;exec тыр-тыр
К сожалению, я это все с перепугу грохнула Но, мб, еще поймаются.
ЗЫ: Кто-то постоянно атакует порт с 89.169.*.*... Пока писала сюда - 6 раз уже стукнулись.
не уберу аутпост ради AVZ!!!!
ЗЫ2: Я подробнее объясню ситуевину. Есть сервер удаленный MS SQL, на котором крутится база. Себе домой на локальный сервер я скачиваю периодически бэкап методом DataPump, потаблично. Пр этом скачиваются только данные, триггера и прочее - нет.
Вирус обнаруживается на данных, вытянутых с сервера, на компе его нет, я все проверяла! Очевидно, источник - удаленный сервер ???. SQL? Но если я скажу админу об этом, он найдет бедный MDF заразный и просто, боюсь, грохнет его. А этого делать нельзя! Вот я и пытаюсь понять, как ЭТО вылечить, не убивая, у себя дома.
Пока нашла какой-то вроде аналог, сейчас запустила утилиту DrWeba http://info.drweb.com/virus_description/18662
Добавлено через 5 часов 33 минуты
>>>В свойствах базы поставьте птицу AutoShrink - лог должен сдуться.
Сообщаю, что после Шринка лог не сдулся.
Добавлено через 1 час 26 минут
Зато... вот еще загадка...
неожиданно сдулся (!) MDF (после проверки DrWebom, но Веб этот файл точно не лечил!!), и аваст неожиданно показал, что в Логе остался вирус, а в самой базе - исчез!
Размер MDF стал всего 3 с чем-то мега (хотя должен быть меньше вроде) Напоминаю, что SQL-таблица абсолюто пуста!!!!
Но при просмотре файла в блокноте в нем обнаружились целые куски из текстовых записей, разговоры из МЕМО-полей. ГДЕ ОНИ ЖИВУТ, если таблица пуста?!
Последний раз редактировалось Azia; 10.06.2008 в 21:39.
Причина: Добавлено
-
Если немного поманипулируете таблицей (добавить-удалить запись), то и лог сдуется. То, что видно в Блокноте - это мусор в неиспользуемых фрагментах файла. Пока MDF не сдулся, он почти весь был неиспользуемый, и в нём болталось соержимое удалённых записей. Это штатное поведение MS SQL. Он таким путём себе жизнь облегчает - зачем немедленно сжимать базу, если (обычно) через какое-то время в неё будут добавлять записи, вот резерв и пригодится.
-
-
Junior Member
- Вес репутации
- 58
Сообщение от
pig
Если немного поманипулируете таблицей (добавить-удалить запись), то и лог сдуется. То, что видно в Блокноте - это мусор в неиспользуемых фрагментах файла. Пока MDF не сдулся, он почти весь был неиспользуемый, и в нём болталось соержимое удалённых записей. Это штатное поведение MS SQL. Он таким путём себе жизнь облегчает - зачем немедленно сжимать базу, если (обычно) через какое-то время в неё будут добавлять записи, вот резерв и пригодится.
Приветствую! Почти так и произошло...
Сегодня утром неожиданно обнаружилось, что и файл, и лог сдулись до 1,5 каждый - обычный "пустой" размер. Аваст сказал, что вируса там теперь нет нигде. Ясно дело!
Но при попытке открыть таблицу через SQL или файл блокнотом... оно не открывается, блокнот говорит, что файл занят неким процессом (это неправда, все, что могло его держать - даже не загружалось). А у SQL - генеральная ошибка
Уже крыша едет...
Получается, что вопрос про вирус так и повис, неразгаданный.