最近,国内再次发生多起对Oracle数据库的勒索病毒,该病毒是底发生的比特币勒索事件,该病毒通过网络上下载的破解版PL/SQL developer工具,被黑客利用注入修改了安装目录下的fterconnet.sql文件,当使用带有病毒工具连接数据库时,假如该连接用户具有DBA权限,改病毒就会在数据库上执行创建几个触发器和存储过程。该病毒会对数据库创建时间大于1200天的数据库进行比特币勒索,不交则进行数据库数据删除。
创建的触发器和过程对象如下:
触发器:
DBMS_SUPPORT_INTERNAL
DBMS_SYSTEM_INTERNAL
DBMS_CORE_INTERNAL
过程:
DBMS_SUPPORT_INTERNAL
DBMS_SYSTEM_INTERNAL
DBMS_CORE_INTERNAL
DBMS_STANDARD_FUN9
查询脚本如下:
select *from all_triggers t where t.TRIGGER_NAME in (DBMS_SUPPORT_INTERNAL,DBMS_SYSTEM_INTERNAL,DBMS_CORE_INTERNAL);select * from all_procedures t where t.PROCEDURE_NAME in (DBMS_SUPPORT_INTERNAL, DBMS_SYSTEM_INTERNAL, DBMS_CORE_INTERNAL, DBMS_STANDARD_FUN9);
处理方式:
直接删除这些触发器和过程,然后替换掉破解版的PL/SQL developer工具,选择正版软件。
