趋势科技昨(22)日发布JS_SQLSPIDA.B的病毒警讯，发现一种新型态病毒特别针对SQL sever为攻击目标。此JavaScript蠕虫病毒透过一种全新的传染途径，利用感染安装有Microsoft SQL之服务器，并在被感染之服务器内产生特定的档案，使得系统会将内部数据传送到一特定之邮件信箱，藉此窃取受害者的重要数据，另外，一旦此IP 成为攻击目标被感染之后，网络流量便会爆增，降低效能，而且会成为另一个随机产生IP位置而去散布病毒的工具。趋势科技建议用户请小心并且即刻更新最新病毒特征至289，并且扫瞄系统所有档案，将扫描感染到BAT_SQLSPIDA.B和JS_SQLSPIDA.B的档案全部删除。

此外，趋势科技TrendLabs更进一步指出，根据分析报告，该病毒会利用其本身会随机产生的许多IP位置，并联机至这些IP位置之TCP port 1433(此为SQL server 使用的port)。也就是说，病毒随机产生的IP会去搜寻同时有SQL server 使用的port，搜寻到之后，它们便成为病毒下手攻击的目标，而细究其造成上述三个危害症状主因为，第一、该病毒会使用 "ipconfig /all" 指令取得被感染机器之所有网络设定数据并储存于SEND.TXT档案中，此外亦将执行PWDUMP2.EXE所产生的账号、密码档案储存于同一份档案中。同时病毒使用CLEMAIL.EXE email软件将所产生的档案寄到IXLDT@POSTONE.COM此特定账号中，其信件主旨为 "SyetemData"。

第二、这些被攻击的IP位置会产生10000个thread来存取该特定的port并建立10000个联机，使得网络流量增加，降低效能。第三、该病毒会将各IP所响应的数据存于RDATA.TXT中，并在该档案中搜寻“1433/tcp” 字符串。如果某IP响应的数据中有此字符串，则病毒会使用此IP及随机产生的密码当作参数执行 SQLINSTALL.BAT(此批处理文件趋势科技侦测为BAT_SQLSPIDA.B)，将病毒程序安装至使用该IP之机器上。此后，病毒会停止运作并伺机将RDATA.TXT 档案删除，再重新开始产生一新的IP位置进行攻击。也就是说，被攻击感染的服务器也就成为下一个散布攻击病毒的源头。由此一传十、十传百已惊人速度散开来。