快速检查下plsql，最近发现了RushQL病毒正在入侵数据库

病毒是由“SQL RUSH Team”组织发起，因此该病毒被命名为RushQL

RushQL 病毒样本是在数据库工具中提取的，警示如下：

对方说明发送5个比特币到指定账户，就告知解锁方法

自检：尽快检查各自plsql安装目录下是否有AfterConnect.sql 文件，并且不为空，如果有的话，说明原来的安装程序有问题，请尽快删除当前版本和AfterConnect.sql文件，并重新找安全的介质进行安装。

该样本是一个 PL/SQL 自带的AfterConnect.sql 自动运行脚本，此文件一般在官方 PL/SQL 软件中是一个空文件，而该样本提取自破解版 PL/SQL 是有实际内容的，如下图所示：

病毒来源：使用破解版 PL/SQL 是工具，含有异常脚本的 PL/SQL 工具，该工具自带装成 Oracle 官方程序 AfterConnect.sql 自动运行脚本，而该样本提取中，创建 4 个异常存储过程和 3 个异常触发器。然后根据特定条件开始破坏数据库数据

解决办法：首先删除异常存储过程和异常触发器

第二步使用第三方软件进行恢复数据或者使用备份数据

第三步检查异常存储过程和异常触发器是否还存在

总结：

1.工作工具尽可能用正版

2.核心数据尽可能实时备份