除此之外，Vollgar 身后的攻击者还为 MS-SQL 数据库及其具备较高权利的电脑操作系统建立了新的侧门帐户。

原始设定进行后，攻击会再次建立下载工具脚本(2个 VBScript 和一个 FTP 脚本)，这种脚本将“数次”实行，每一次在当地系统文件上应用不一样的总体目标部位来防止可被发觉。

在其中一个名叫 SQLAGENTIDC.exe/SQLAGENTVDC.exe 的原始合理负荷更先会杀掉一长串过程，目地是保证较大 总数的服务器资源，清除别的威协参加者的主题活动，并从受感染的电子计算机中删掉他们的存有。

特别注意的是，61％ 的电子计算机仅感染了 2 天或更短的時间，21％ 的电子计算机感染了 7-14 天之上，在其中 17.1％ 的电子计算机遭受了反复感染。后一种状况可能是因为欠缺适度的安全防范措施而造成 在初次感染远程服务器没法彻底解决该恶意程序。

汇报中称，每日有 2-3 百个数据库在 Vollgar 攻击主题活动中被攻占，在其中包含我国、印尼、韩、土尔其和英国等我国，受影响的领域包含诊疗、航空公司、IT、电信网、文化教育等好几个行业。

除开耗费 CPU 資源挖币以外，这种数据库 *** 服务器吸引住攻击者的缘故还取决于他们有着的很多数据信息。这种设备很有可能储存私人信息，比如登录名、登陆密码、信用卡卡号等，这种信息内容仅需简易的暴力行为就可以掉入攻击者的手上。

有点儿恐怖。

怎样自纠自查？

那麼，有哪些 *** 能提早抵挡这类攻击呢？

为了更好地协助感染者，Guardicore Labs?还出示了 PowerShell 自纠自查脚本 Script - detect_vollgar.ps1，自纠自查脚本 detect_vollgar.ps1 可完成当地攻击印痕检验，检验內容以下：

1.?系统文件中的故意 payload ；

2.?故意服务项目过程每日任务名；

3.?侧门登录名。

附脚本下载地址：

另外，该库还出示了脚本运作手册和行動提议，在其中包含：

马上防护受感染的电子计算机，并阻拦其浏览互联网中的别的财产。

将全部 MS-SQL 客户账号登陆密码更改成强登陆密码，以防止被此攻击或别的暴力行为攻击再度感染。

关掉数据库账户登录 *** ，以 windows 身份认证 *** 登陆数据库，并在 windows 对策里密码设置抗压强度。

提升互联网界限侵入预防和管理 *** ，在互联网进出口设定服务器防火墙等 *** 信息安全机器设备，对多余的通信给予阻隔。

对曝露在互联网技术上的计算机设备、 *** 服务器、电脑操作系统和软件系统开展安全性清查，包含但不分漏洞扫描系统、木马病毒检测、配备审查、WEB 网站漏洞扫描、网址网站渗透测试等。

提升安全工作，创建 *** 信息安全应急管理体制，开启互联网和运作日志财务审计，分配互联网值班，搞好检测对策，及时处理攻击风险性，妥善处理。

引入来源于：

[1

[2]?