امروز درحالیکه داشتم در مایکروسافت ویژوال استودیو ۲۰۰۸ کار میکردم، چشمانم به اتصال پایگاه دادههایی افتاد که برای نفوذ به دادگان پشتسر بدافزار tt6ynew.exe که توسط نادانی به داتنت نوشته شده ساخته بودم—بدافزاری که خوشبختانه سجاد آنرا دیکد کرده و قبلاً اتصالات پایگاه دادههای آنرا بررسی کرده بود.
قبلاً تمام محتوای دادگان آنرا که در ok8.com.ru میزبانی میشود پاک کرده بودم، پایگاه دادههایی که شامل چندین تیبل اطلاعات است که توسط بدافزار tt6ynew.exe پُر میشود، که تنها یکی از آنها شامل ۲۳۵ میلیون رکورد بود. دستور DELETE من بخوبی به پایگاه دادههای آن نادان تأثیر کرد و در چند ساعت ابتدایی دوشنبه شب، ۱ فوریهٔ ۲۰۱۰، اسکیوال سرور وی نفس راحتی کشید، چون دیگر چیزی برای نگهداری نداشت!
صبح روز بعد، مردک نادان رمز «reader1006» مربوط به کاربر دادگان «dreader» را با عجله عوض کرد، چون دزد مورد دزدی واقع شده بود. برای چند روز رمز عوضشده باقی ماند، که باعث عقیم شدن عملیات برخط بدافزار نابکارش شد—بدافزاری که قبلاً در سطح جهان پخش شده بود.
حالا که ویروسنویس نادان کمی رشد کرده، با خودش فکر کرده «آها! چرا خطمشی پایگاه دادهها را تغییر ندهم، که نه تنها نسخههای پخش شدهٔ tt6ynew.exe بتوانند وصل شوند و دادههایشان را بفرستند، هم رکوردها قابل پاک کردن نباشند.» انتخاب معقولی است، نادان!
حالا اگر سعی کنید که چیزی را تغییر دهید یا پاک کنید، اسکیوال سرور یک پیغام خطای اتصال پایگاه دادهها بر میگرداند که میگوید «拒绝了对对象 ‘users’(数据库 ‘allusers’,所有者 ‘dbo’)的 DELETE 权限。،» که به زبان آدمیزاد به این معنی است که «امتیاز DELETE برای شئ ‘users’ (دادگان ‘allusers’، مالک ‘dbo’) اجازه داده نشد.»
چیزی که آن نادان متوجه نشد این بود که ما سورس برنامهاش با داتنت را داریم، پس نام کاربری «idata» و رمز «haha8591» را هم داریم.
پس یک بار دیگر محتوای دادگانش کاملاً پاک شد:
سمت راست تیبل «users» از دادگان بدافزار داتنتی tt6ynew.exe را نشان میدهد که شامل ۳۰٬۳۱۷٬۳۳۸ رکورد است، همان تیبل بعد از پاک شدن در سمت چپ نشان داده شده است.
پیشنهادی برای نادانها: برای خودتان شغلی مناسب دست و پا کنید، و اگر وضع نابسامان اقتصادی مشاغلتان را از شما گرفته، لطفاً بدافزارها و ویروسهای افلیج با ویژوال بیسیک یا سیشارپ داتنت ننویسید. یاد بگیرید به اسمبلی و سیپلاسپلاس برنامهسازی کنید.
English