Oracle PL/SQL Dev工具(破解版)被植入勒索病毒的安全预警及自查通告

近期出现针对Oracle PL/SQL Developer工具的勒索病毒,该病毒通过篡改afterconnect.sql文件传播,利用dba权限创建恶意存储过程和触发器,加密数据库并要求支付赎金。建议检查相关对象并确保使用官方渠道获取软件。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Oracle PL/SQL Dev工具(破解版)被植入勒索病毒的安全预警及自查通告

 

【问题描述】

近日,有项目组遇到了勒索软件攻击:勒索代码隐藏在Oracle PL/SQL Dev软件中(网上下载的破解版),里面的一个文件afterconnet.sql被黑客注入了病毒代码。这个代码会在用户连接数据库后立即执行,如果用户的账号拥有dba权限,它会在用户的数据库中创建多个存储过程和触发器,会阻止用户连接数据库。当用户重启动后,会触发病毒触发器,加密并删除sys.tab$,导致用户无法访问数据库中所有的schema, 出现“你的数据库已经被SQL RUSH team锁死,请发送5个比特币到xxxxxxxxxxx地址,….”等信息,并设置定时任务,如果在期限内不交赎金,就truncate所有的表。病毒发作危害极大,而且原厂和相关的安全厂商都很难恢复。

这个病毒为了增加破坏效果,加强隐蔽性,只有当数据库创建时间超过1200天才会爆发,有很长的潜伏期。

 

【检查处置

1、在Oracle Server端检查是否有下面几个对象:

Object_name

Obeject_type

DBMS_SUPPORT_INTERNAL         

TRIGGER

DBMS_SUPPORT_INTERNAL         

PROCEDURE

DBMS_SYSTEM_INTERNAL         

TRIGGER

DBMS_CORE_INTERNAL         

TRIGGER

DBMS_SYSTEM_INTERNAL

PROCEDURE

DBMS_CORE_INTERNAL

PROCEDURE

DBMS_STANDARD_FUN9

PROCEDURE

参考SQL:

select * from dba_objects where object_name like ‘%INTERNAL%’;

 

2、检查PLSQL DEV安装目录,查找afterconnect.sql和login.sql文件。

其中afterconnect.sql的大小应该是0字节,login.sql打开后只有一句注释“- -Autostart Command Window script ”,如果这两个文件里有其他内容,应怀疑是病毒。

发现数据库中有病毒代码,需要立即清除,不要重启动数据库。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码海无涯苦做舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值