A MySQL-t támadja az új féregvariáns

Geza Papp, 2005. január 28. 15:37
A MySQL telepítés a Forbot féreg célpontja - számolt be január 28-án a Sophos Plc., mely cég vírusszakértői figyelmeztetik a számítógép-felhasználókat erre az új féregvariánsara. A most analizált W32/Forbot-DY eddig a legutolsó tagja a 2004 közepén feltűnt Forbot féregcsaládnak.
Az új variáns célja az a nyílt forráskódú MySQL adatbázis, melyhez az interneten a Windows alapú számítógépek kapcsolódnak. MySQL szoftver adatbázis egyik népszerű alternatívája a Microsoft SQL Server, melyről világszerte több mint 5 millió telepítést végeznek..

A féreg az interneten történő terjedésén túl megpróbál kialakítani egy zombi "bot" hálózatot, mely lehetővé teszi távoli hackereknek DDoS támadás indítását a fertőzött számítógépekről.

"A rendszeradminisztrátoroknak kell biztosítaniuk hogy a rájuk bízott számítógépeket kellően védjék, folyamatosan frissített antivírus-alkalmazásokkal, jól, ésszerűen konfigurált tűzfalakkal és a friss biztonsági foltok (patchek) azonnali telepítésével" - mondta Graham Cluley. "Ha alkalmazod a szükséges lépéseket, akkor rosszindulatú malware a kemény, erőszakos terjedése során megtalálja ugyan az ilyen rendszert, de ezután elkerüli."

A Sophos szerint ez a féreg nem lesz olyan "hatékony", mint 2003-ban a SQL Slammer féreg, ami le lassította az internet egy részét.

A W32/Forbot-DY Windows hálózati féreg, ami megosztott hálózatokon terjed. A féreg tartalmaz hátsó ajtó funkciót, ami lehetővé teszi egy IRC csatornán keresztül a jogosulatlan távoli belépést a fertőzött számítógépre.

W32/Forbot-DY bemásolja magát a hálózati megosztásokba, mint msgfix.exe. Megpróbál létrehozni egy app_result.dll állományt a mySQL szerveren, ha megszerezte a hozzáférhetőséget.

Amikor fut, a féreg bemásolja magát a Windows System mappába spoolcll.exe néven. A Windows NT-alapú operációs rendszereken a W32/Forbot-DY mint "evmon" nevű szolgáltatás fut, a képernyőn mint "Event Monitor" látszódik.

A regisztrációs adatbázis kulcsihoz az alábbi bejegyzéseket teszi:

HKLMSYSTEMCurrentControlSetServicesevmon
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_EVMON

A feltelepített W32/Forbot-DY létrehoz a fertőzött gépen egy HTTP proxy szervert, egy SOCKS4 szervert, megszüntetheti a hálózati megosztás kapcsoltakat, részt vehet DoS támadásokban, ellop különböző CD kulcsokat, illetve e-mail címeket - megtesz mindent, amire az írója programozta, vagy távolról a támadó utasítja.

A Forbot-DY féreg gyenge jelszóval védett megosztott hálózatokon terjed, kihasználva a Microsoft két biztonsági hibáját, az RPC-DCOM (MS03-039) és az LSASS (MS04-011) sebezhetőséget.
Kulcsszavak: Sophos vírus

Biztonság ROVAT TOVÁBBI HÍREI

Felmérés: a hollandiai szervezetek negyede nincs felkészülve kibertámadásra

Hollandiában a közepes és nagyvállalatok negyede nincs felkészülve egy esetleges kibertámadásra – jelentette hétfőn az NLTimes című holland hírportál a KPN holland távközlési vállalat megrendelésére készült felmérésre hivatkozva, amelyben kiemelik az egészségügyi szektor veszélyeztetettségét is.

2024. november 4. 13:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Gépek is rajthoz állnak a most induló Országos IT Megmérettetésen

2024. október 28. 18:06

Megnyitott a Vatera Galéria, a válogatott műtárgyak új platformja

2024. október 22. 15:25

Egy év alatt 45 milliárd forintot loptak el tőlünk a digitális bűnözők

2024. október 15. 16:51

Idén már ezernél is több résztvevőt várnak a Service Design Day-re

2024. október 7. 09:59