Nowy robak atakuje MySQL
- Krzysztof Biliński,
- 28.01.2005, godz. 09:29
Wykryto nowego robaka, atakującego komputery z uruchomionym serwerem bazodanowym MySQL pod systemami Windows. Nowy "szkodnik", nazwany przez organizację SANS, zajmującą się bezpieczeństwem w sieci, MySpool, wykorzystuje niezabezpieczone lub słabo zabezpieczone konto administracyjne bazy danych w celu zainstalowania się w atakowanym komputerze.
Sposób infekowania
Robak próbuje się zalogować jako administrator serwera (root) poprzez brutalny atak (brute force), używając własnej listy haseł. Po udanym podłączeniu się do serwera, tworzy w administracyjnej bazie tabelę o nazwie bla, po czym wpisuje do niej kod wykonywalny. Następnie przy pomocy komendy select * from bla into dumpfile "app_result.dll" zapisuje ten kod do pliku o nazwie app_result.dll, a po udanym zapisie usuwa stworzoną tabelę. Aby uruchomić zapisany wcześniej kod wykonywalny, "insekt" tworzy funkcję mysql o nazwie app_result, która używa pliku zapisanego wcześniej na dysku. Po wywołaniu tej funkcji, MySpool ładuje się do pamięci i uruchamia.
Działanie
Po zainstalowaniu się w systemie robak próbuje nawiązywać połączenia na portach 5002 i 5003 z serwerami IRC:
- dummylandingzone.dyndns.org
- landingzone.dynamic-ip.us
- dummylandingzone.dns2go.com
- dummylandingzone.hn.org
- dummylandingzone.dynu.com
- zmoker.dns2go.com
- landingzone.dynu.com
- landingzone.ath.cx
- dummylandingzone.ipupdater.com
MySpool, uruchamiany jest z pliku spoolcll.exe. Po podłączeniu się do serwera IRC, "insekt" otwiera kanał #rampenstampen i sprawdza temat ustawiony na kanale, ma on postać !adv.start mysql 80 10 0 132.x.x.x -a -r -s. Temat instruuje robaka do skanowania losowych adresów IP w podsieci 132.x.x.x w poszukiwaniu kolejnych ofiar, czyli innych serwerów MySQL. Temat ten zmienia się regularnie w czasie, co powoduje przeszukiwanie innych podsieci.
Jak narazie robaka identyfikuje się jako odmianę 'Woobot' i wygląda na to, że zawiera on typowe dla tych szkodników funkcje, takie jak mechanizmy do przeprowadzania ataków DDoS, wyłączania skanerów antywirusowych, czy wykradanie informacji z zainfekowanych systemów .
Zapobieganie
Szkodnik wykorzystuje niezabezpieczone konto administracyjne w serwerach MySQL. Można zapobiec zarażeniu stosując się do poniższych zaleceń:
- konto administracyjne należy zabezpieczyć 'silnym' hasłem;
- zabezpieczyć dostęp do konta administracyjnego, umożliwić połączenia tylko dla zaufanych serwerów lub tylko lokalnie. Można też włączyć wymuszanie połączenia SSL.
- jeżeli posiadamy firewalla, zablokować port 3306 i zezwolić na połączenia na tym porcie tylko zaufanym serwerom.
Wykrywanie
Działanie robaka przejawia się na kilka sposobów. Pierwszym z nich jest skanowanie portu 3306. Kolejnym objawem może być niemożność połączenia z serwerami IRC z zainfekowanego hosta oraz ciągłe próby połączenia na portach 5002 i 5003 do podanych wcześniej serwerów. Jeżeli serwer DNS jest skonfigurowany na logowanie zapytań, to również tam można odnaleźć zapytania o ww. hosty. Ponieważ są to dynamiczne DNS'y, adresy IP mogą się zmieniać w czasie.
Usuwanie
Nowy robak jest jeszcze badany, ale część programów antyvirusowych wykrywa go jako różne zagrożenia:
AntiVir 6.29.0.8/20050127 - nie znaleziono
AVG 718/20050127 - znaleziono [BackDoor.Wootbot.4.S]
BitDefender 7.0/20050127 - nie znaleziono
ClamAV devel-20041205/20050127 - nie znaleziono
DrWeb 4.32b/20050127 - znaleziono [Win32.HLLW.ForBot.based]
eTrust-Iris 7.1.194.0/20050127 - nie znaleziono
eTrust-Vet 11.7.0.0/20050127 - nie znaleziono
F-Prot 3.16a/20050127 - nie znaleziono
Kaspersky 4.0.2.24/20050127 - znaleziono [Backdoor.Win32.Wootbot.gen]
NOD32v2 1.985/20050127 - znaleziono [probably unknown NewHeur_PE]
Norman 5.70.10/20050127 - znaleziono [W32/SDBot.gen2]
Panda 8.02.00/20050127 - nie znaleziono
Sybari 7.5.1314/20050127 - znaleziono [Backdoor.Win32.Wootbot.gen]
Symantec 8.0/20050127 - znaleziono [W32.Spybot.Worm]
Więcej informacji oraz na forum Whirlpool