病毒是由“SQL RUSH Team”组织发起,因此该病毒被命名为RushQL
RushQL 病毒样本是在数据库工具中提取的,警示如下:
![快速检查下plsql,最近发现了RushQL病毒正在入侵数据库](http://p2.ttnews.xyz/loading.gif)
对方说明发送5个比特币到指定账户,就告知解锁方法
自检:尽快检查各自plsql安装目录下是否有AfterConnect.sql 文件,并且不为空,如果有的话,说明原来的安装程序有问题,请尽快删除当前版本和AfterConnect.sql文件,并重新找安全的介质进行安装。
该样本是一个 PL/SQL 自带的AfterConnect.sql 自动运行脚本,此文件一般在官方 PL/SQL 软件中是一个空文件,而该样本提取自破解版 PL/SQL 是有实际内容的,如下图所示:
![快速检查下plsql,最近发现了RushQL病毒正在入侵数据库](http://p2.ttnews.xyz/loading.gif)
病毒来源:使用破解版 PL/SQL 是工具,含有异常脚本的 PL/SQL 工具,该工具自带装成 Oracle 官方程序 AfterConnect.sql 自动运行脚本,而该样本提取中,创建 4 个异常存储过程和 3 个异常触发器。然后根据特定条件开始破坏数据库数据
解决办法:首先删除异常存储过程和异常触发器
第二步使用第三方软件进行恢复数据或者使用备份数据
第三步检查异常存储过程和异常触发器是否还存在
总结:
1.工作工具尽可能用正版
2.核心数据尽可能实时备份
閱讀更多 聊推 的文章