A MySQL-t támadja az új féregvariáns
Geza Papp, 2005. január 28. 15:37
A MySQL telepítés a Forbot féreg célpontja - számolt be január 28-án a Sophos Plc., mely cég vírusszakértői figyelmeztetik a számítógép-felhasználókat erre az új féregvariánsara. A most analizált W32/Forbot-DY eddig a legutolsó tagja a 2004 közepén feltűnt Forbot féregcsaládnak.
Az új variáns célja az a nyílt forráskódú MySQL adatbázis, melyhez az interneten a Windows alapú számítógépek kapcsolódnak. MySQL szoftver adatbázis egyik népszerű alternatívája a Microsoft SQL Server, melyről világszerte több mint 5 millió telepítést végeznek..
A féreg az interneten történő terjedésén túl megpróbál kialakítani egy zombi "bot" hálózatot, mely lehetővé teszi távoli hackereknek DDoS támadás indítását a fertőzött számítógépekről.
A Sophos szerint ez a féreg nem lesz olyan "hatékony", mint 2003-ban a SQL Slammer féreg, ami le lassította az internet egy részét.
A W32/Forbot-DY Windows hálózati féreg, ami megosztott hálózatokon terjed. A féreg tartalmaz hátsó ajtó funkciót, ami lehetővé teszi egy IRC csatornán keresztül a jogosulatlan távoli belépést a fertőzött számítógépre.
W32/Forbot-DY bemásolja magát a hálózati megosztásokba, mint msgfix.exe. Megpróbál létrehozni egy app_result.dll állományt a mySQL szerveren, ha megszerezte a hozzáférhetőséget.
Amikor fut, a féreg bemásolja magát a Windows System mappába spoolcll.exe néven. A Windows NT-alapú operációs rendszereken a W32/Forbot-DY mint "evmon" nevű szolgáltatás fut, a képernyőn mint "Event Monitor" látszódik.
A regisztrációs adatbázis kulcsihoz az alábbi bejegyzéseket teszi:
A feltelepített W32/Forbot-DY létrehoz a fertőzött gépen egy HTTP proxy szervert, egy SOCKS4 szervert, megszüntetheti a hálózati megosztás kapcsoltakat, részt vehet DoS támadásokban, ellop különböző CD kulcsokat, illetve e-mail címeket - megtesz mindent, amire az írója programozta, vagy távolról a támadó utasítja.
A Forbot-DY féreg gyenge jelszóval védett megosztott hálózatokon terjed, kihasználva a Microsoft két biztonsági hibáját, az RPC-DCOM (MS03-039) és az LSASS (MS04-011) sebezhetőséget.
A féreg az interneten történő terjedésén túl megpróbál kialakítani egy zombi "bot" hálózatot, mely lehetővé teszi távoli hackereknek DDoS támadás indítását a fertőzött számítógépekről.
"A rendszeradminisztrátoroknak kell biztosítaniuk hogy a rájuk bízott számítógépeket kellően védjék, folyamatosan frissített antivírus-alkalmazásokkal, jól, ésszerűen konfigurált tűzfalakkal és a friss biztonsági foltok (patchek) azonnali telepítésével" - mondta Graham Cluley. "Ha alkalmazod a szükséges lépéseket, akkor rosszindulatú malware a kemény, erőszakos terjedése során megtalálja ugyan az ilyen rendszert, de ezután elkerüli."
A Sophos szerint ez a féreg nem lesz olyan "hatékony", mint 2003-ban a SQL Slammer féreg, ami le lassította az internet egy részét.
A W32/Forbot-DY Windows hálózati féreg, ami megosztott hálózatokon terjed. A féreg tartalmaz hátsó ajtó funkciót, ami lehetővé teszi egy IRC csatornán keresztül a jogosulatlan távoli belépést a fertőzött számítógépre.
W32/Forbot-DY bemásolja magát a hálózati megosztásokba, mint msgfix.exe. Megpróbál létrehozni egy app_result.dll állományt a mySQL szerveren, ha megszerezte a hozzáférhetőséget.
Amikor fut, a féreg bemásolja magát a Windows System mappába spoolcll.exe néven. A Windows NT-alapú operációs rendszereken a W32/Forbot-DY mint "evmon" nevű szolgáltatás fut, a képernyőn mint "Event Monitor" látszódik.
A regisztrációs adatbázis kulcsihoz az alábbi bejegyzéseket teszi:
HKLMSYSTEMCurrentControlSetServicesevmon
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_EVMON
A feltelepített W32/Forbot-DY létrehoz a fertőzött gépen egy HTTP proxy szervert, egy SOCKS4 szervert, megszüntetheti a hálózati megosztás kapcsoltakat, részt vehet DoS támadásokban, ellop különböző CD kulcsokat, illetve e-mail címeket - megtesz mindent, amire az írója programozta, vagy távolról a támadó utasítja.
A Forbot-DY féreg gyenge jelszóval védett megosztott hálózatokon terjed, kihasználva a Microsoft két biztonsági hibáját, az RPC-DCOM (MS03-039) és az LSASS (MS04-011) sebezhetőséget.
Kapcsolódó cikkek
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- Sophos biztonsági megoldás a General Electric 350.000 gépén
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional
Biztonság ROVAT TOVÁBBI HÍREI
Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra
Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.
2024. november 4. 13:17