A MySQL telepítés a Forbot féreg célpontja - számolt be január 28-án a Sophos Plc., mely cég vírusszakértői figyelmeztetik a számítógép-felhasználókat erre az új féregvariánsara. A most analizált W32/Forbot-DY eddig a legutolsó tagja a 2004 közepén feltűnt Forbot féregcsaládnak.
Az új variáns célja az a nyílt forráskódú MySQL adatbázis, melyhez az interneten a Windows alapú számítógépek kapcsolódnak. MySQL szoftver adatbázis egyik népszerű alternatívája a Microsoft SQL Server, melyről világszerte több mint 5 millió telepítést végeznek..
A féreg az interneten történő terjedésén túl megpróbál kialakítani egy zombi "bot" hálózatot, mely lehetővé teszi távoli hackereknek DDoS támadás indítását a fertőzött számítógépekről.
"A rendszeradminisztrátoroknak kell biztosítaniuk hogy a rájuk bízott számítógépeket kellően védjék, folyamatosan frissített antivírus-alkalmazásokkal, jól, ésszerűen konfigurált tűzfalakkal és a friss biztonsági foltok (patchek) azonnali telepítésével" - mondta Graham Cluley. "Ha alkalmazod a szükséges lépéseket, akkor rosszindulatú malware a kemény, erőszakos terjedése során megtalálja ugyan az ilyen rendszert, de ezután elkerüli."
A Sophos szerint ez a féreg nem lesz olyan "hatékony", mint 2003-ban a SQL Slammer féreg, ami le lassította az internet egy részét.
A W32/Forbot-DY Windows hálózati féreg, ami megosztott hálózatokon terjed. A féreg tartalmaz hátsó ajtó funkciót, ami lehetővé teszi egy IRC csatornán keresztül a jogosulatlan távoli belépést a fertőzött számítógépre.
W32/Forbot-DY bemásolja magát a hálózati megosztásokba, mint msgfix.exe. Megpróbál létrehozni egy app_result.dll állományt a mySQL szerveren, ha megszerezte a hozzáférhetőséget.
Amikor fut, a féreg bemásolja magát a Windows System mappába spoolcll.exe néven. A Windows NT-alapú operációs rendszereken a W32/Forbot-DY mint "evmon" nevű szolgáltatás fut, a képernyőn mint "Event Monitor" látszódik.
A regisztrációs adatbázis kulcsihoz az alábbi bejegyzéseket teszi:
HKLMSYSTEMCurrentControlSetServicesevmon
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_EVMON
A feltelepített W32/Forbot-DY létrehoz a fertőzött gépen egy HTTP proxy szervert, egy SOCKS4 szervert, megszüntetheti a hálózati megosztás kapcsoltakat, részt vehet DoS támadásokban, ellop különböző CD kulcsokat, illetve e-mail címeket - megtesz mindent, amire az írója programozta, vagy távolról a támadó utasítja.
A Forbot-DY féreg gyenge jelszóval védett megosztott hálózatokon terjed, kihasználva a Microsoft két biztonsági hibáját, az RPC-DCOM (MS03-039) és az LSASS (MS04-011) sebezhetőséget.