Nowy robak atakuje MySQL

Wykryto nowego robaka, atakującego komputery z uruchomionym serwerem bazodanowym MySQL pod systemami Windows. Nowy "szkodnik", nazwany przez organizację SANS, zajmującą się bezpieczeństwem w sieci, MySpool, wykorzystuje niezabezpieczone lub słabo zabezpieczone konto administracyjne bazy danych w celu zainstalowania się w atakowanym komputerze.

Sposób infekowania

Robak próbuje się zalogować jako administrator serwera (root) poprzez brutalny atak (brute force), używając własnej listy haseł. Po udanym podłączeniu się do serwera, tworzy w administracyjnej bazie tabelę o nazwie bla, po czym wpisuje do niej kod wykonywalny. Następnie przy pomocy komendy select * from bla into dumpfile "app_result.dll" zapisuje ten kod do pliku o nazwie app_result.dll, a po udanym zapisie usuwa stworzoną tabelę. Aby uruchomić zapisany wcześniej kod wykonywalny, "insekt" tworzy funkcję mysql o nazwie app_result, która używa pliku zapisanego wcześniej na dysku. Po wywołaniu tej funkcji, MySpool ładuje się do pamięci i uruchamia.

Działanie

Po zainstalowaniu się w systemie robak próbuje nawiązywać połączenia na portach 5002 i 5003 z serwerami IRC:

- dummylandingzone.dyndns.org

- landingzone.dynamic-ip.us

- dummylandingzone.dns2go.com

- dummylandingzone.hn.org

- dummylandingzone.dynu.com

- zmoker.dns2go.com

- landingzone.dynu.com

- landingzone.ath.cx

- dummylandingzone.ipupdater.com

MySpool, uruchamiany jest z pliku spoolcll.exe. Po podłączeniu się do serwera IRC, "insekt" otwiera kanał #rampenstampen i sprawdza temat ustawiony na kanale, ma on postać !adv.start mysql 80 10 0 132.x.x.x -a -r -s. Temat instruuje robaka do skanowania losowych adresów IP w podsieci 132.x.x.x w poszukiwaniu kolejnych ofiar, czyli innych serwerów MySQL. Temat ten zmienia się regularnie w czasie, co powoduje przeszukiwanie innych podsieci.

Jak narazie robaka identyfikuje się jako odmianę 'Woobot' i wygląda na to, że zawiera on typowe dla tych szkodników funkcje, takie jak mechanizmy do przeprowadzania ataków DDoS, wyłączania skanerów antywirusowych, czy wykradanie informacji z zainfekowanych systemów .

Zapobieganie

Szkodnik wykorzystuje niezabezpieczone konto administracyjne w serwerach MySQL. Można zapobiec zarażeniu stosując się do poniższych zaleceń:

- konto administracyjne należy zabezpieczyć 'silnym' hasłem;

- zabezpieczyć dostęp do konta administracyjnego, umożliwić połączenia tylko dla zaufanych serwerów lub tylko lokalnie. Można też włączyć wymuszanie połączenia SSL.

- jeżeli posiadamy firewalla, zablokować port 3306 i zezwolić na połączenia na tym porcie tylko zaufanym serwerom.

Wykrywanie

Działanie robaka przejawia się na kilka sposobów. Pierwszym z nich jest skanowanie portu 3306. Kolejnym objawem może być niemożność połączenia z serwerami IRC z zainfekowanego hosta oraz ciągłe próby połączenia na portach 5002 i 5003 do podanych wcześniej serwerów. Jeżeli serwer DNS jest skonfigurowany na logowanie zapytań, to również tam można odnaleźć zapytania o ww. hosty. Ponieważ są to dynamiczne DNS'y, adresy IP mogą się zmieniać w czasie.

Usuwanie

Nowy robak jest jeszcze badany, ale część programów antyvirusowych wykrywa go jako różne zagrożenia:

AntiVir 6.29.0.8/20050127 - nie znaleziono

AVG 718/20050127 - znaleziono [BackDoor.Wootbot.4.S]

BitDefender 7.0/20050127 - nie znaleziono

ClamAV devel-20041205/20050127 - nie znaleziono

DrWeb 4.32b/20050127 - znaleziono [Win32.HLLW.ForBot.based]

eTrust-Iris 7.1.194.0/20050127 - nie znaleziono

eTrust-Vet 11.7.0.0/20050127 - nie znaleziono

F-Prot 3.16a/20050127 - nie znaleziono

Kaspersky 4.0.2.24/20050127 - znaleziono [Backdoor.Win32.Wootbot.gen]

NOD32v2 1.985/20050127 - znaleziono [probably unknown NewHeur_PE]

Norman 5.70.10/20050127 - znaleziono [W32/SDBot.gen2]

Panda 8.02.00/20050127 - nie znaleziono

Sybari 7.5.1314/20050127 - znaleziono [Backdoor.Win32.Wootbot.gen]

Symantec 8.0/20050127 - znaleziono [W32.Spybot.Worm]

Więcej informacji oraz na forum Whirlpool

Dołącz do dyskusji
Bądź pierwszy i zostaw komentarz.