.NET Virus/Botnet “tt6ynew.exe” Database Policies Revised by the Virus Author

Today as I was playing in Microsoft Visual Studio 2008, my eyes rolled to the Server Explorer Data Connections and the database connection I had created to sneak in to the backbone database of the tt6ynew.exe virus written by some jerk in .NET—which luckily Sadjad has reflected it to its source code and investigated its database connections earlier.

I have previously emptied its whole database hosted @ ok8.com.ru, which surprisingly had multiple tables of data filled by the tt6ynew.exe virus, one with a mind-blowing 235-million records. My DELETE commands addressed his (it has to be a man, no woman could or would ever f**k things up like this) insecure SQL server nicely, and within the first few hours of the Monday night, February 1, 2010, his SQL server was breathing serenely, since it has nothing to store anymore!

Tomorrow morning, the jerk has changed the “reader1006” password to the database user “dreader” in rush, because the thief was robbed. For days the password remained altered, resulting an abortion in the online database operation of his wicked botnet—previously spread all over the world.

Now that the jerk .NET botnet/virus programmer’s grown up a bit, he thought “Gee! Why not change database policies, so not only the old instances of tt6ynew.exe spread all over the world can connect and send their swept data, but also records cannot be deleted.” Wise choice, jerk!

Now if you try to alter or delete anything, the SQL server will return a database connection error message indicating “拒绝了对对象 'users'（数据库 'allusers'，所有者 'dbo'）的 DELETE 权限。,” which in human language means “DELETE privileges for object 'users' (database 'allusers', owner 'dbo') was not authorized.”

What the jerk didn’t realize was that we have his source code in C#.NET, so we have his other database username “idata” and password “haha8591”.

So once again, his database is plain clean:

Shown on the left is the tt6ynew.exe .NET virus database “users” table containing 30,317,338 records, and the same table after it’s been erased, is shown on the right.

Suggestion for jerks out there: Find yourselves proper jobs, and if bad economy took your jobs, don’t bother writing impotent viruses in VB or C#.NET. Learn to program in Assembly and C++!

خط‌مشی پایگاه دادهٔ ویروس/بات‌نت دات‌نت «tt6ynew.exe» توسط نویسندهٔ ویروس تجدید نظر شد

امروز درحالی‌که داشتم در مایکروسافت ویژوال استودیو ۲۰۰۸ کار می‌کردم، چشمانم به اتصال پایگاه داده‌ای افتاد که برای نفوذ به پایگاه دادهٔ پشت‌سر ویروس tt6ynew.exe که توسط نادانی به دات‌نت نوشته شده ساخته بودم—ویروسی که خوشبختانه سجاد آنرا دی‌کد کرده و قبلاً اتصالات پایگاه دادهٔ آنرا بررسی کرده بود.

قبلاً تمام پایگاه دادهٔ آنرا که در ok8.com.ru میزبانی می‌شود پاک کرده بودم، پایگاه داده‌ای که شامل چندین تیبل اطلاعات است که توسط ویروس tt6ynew.exe پُر می‌شود، که تنها یکی از آنها شامل ۲۳۵ میلیون رکورد بود. دستور DELETE من بخوبی به پایگاه دادهٔ آن مردک (باید مرد باشد، هیچ زنی نمی‌تواند چنین افتضاحی ببار آورد) تأثیر کرد و در چند ساعت ابتدایی دوشنبه شب، ۱ فوریهٔ ۲۰۱۰، اس‌کیوال سرور وی نفس راحتی کشید، چون دیگر چیزی برای نگهداری نداشت!

صبح روز بعد، مردک نادان رمز «reader1006» مربوط به کاربر پایگاه دادهٔ «dreader» را با عجله عوض کرد، چون دزد مورد دزدی واقع شده بود. برای چند روز رمز عوض‌شده باقی ماند، که باعث عقیم شدن عملیات برخط بات‌نت نابکارش شد—بات‌نتی که قبلاً در سطح جهان پخش شده بود.

حالا که ویروس/بات‌نت نویس نادان کمی رشد کرده، با خودش فکر کرده «آها! چرا خط‌مشی پایگاه داده را تغییر ندهم، که نه تنها نسخه‌های پخش شدهٔ tt6ynew.exe بتوانند وصل شوند و اطلاعاتشان را بفرستند، هم رکوردها قابل پاک کردن نباشند.» انتخاب معقولی است، نادان!

حالا اگر سعی کنید که چیزی را تغییر دهید یا پاک کنید، اس‌کیوال سرور یک پیغام خطای اتصال پایگاه داده بر می‌گرداند که می‌گوید «拒绝了对对象 'users'（数据库 'allusers'，所有者 'dbo'）的 DELETE 权限。،» که به زبان آدمیزاد به این معنی است که «امتیاز DELETE برای شئ 'users' (پایگاه دادهٔ 'allusers'، مالک 'dbo') اجازه داده نشد.»

چیزی که مردک نادان متوجه نشد این بود که ما سورس برنامه‌اش با دات‌نت را داریم، پس نام کاربری «idata» و رمز «haha8591» را هم داریم.

پس یک بار دیگر پایگاه داده‌اش کاملاً پاک شد:

سمت راست تیبل «users» از پایگاه دادهٔ ویروس دات‌نتی tt6ynew.exe را نشان می‌دهد که شامل ۳۰٬۳۱۷٬۳۳۸ رکورد است، همان تیبل بعد از پاک شدن در سمت چپ نشان داده شده است.

پیشنهادی برای نادان‌ها: برای خودتان شغلی مناسب دست و پا کنید، و اگر وضع نابسامان اقتصادی مشاغل‌تان را از شما گرفته، لطفاً ویروس‌های افلیج با ویژوال بیسیک یا سی‌شارپ دات‌نت ننویسید. یاد بگیرید به اسمبلی و سی‌پلاس‌پلاس برنامه‌نویسی کنید.