A MySQL-t támadja az új féregvariáns

Geza Papp, 2005. január 28. 15:37
A MySQL telepítés a Forbot féreg célpontja - számolt be január 28-án a Sophos Plc., mely cég vírusszakértői figyelmeztetik a számítógép-felhasználókat erre az új féregvariánsara. A most analizált W32/Forbot-DY eddig a legutolsó tagja a 2004 közepén feltűnt Forbot féregcsaládnak.
Az új variáns célja az a nyílt forráskódú MySQL adatbázis, melyhez az interneten a Windows alapú számítógépek kapcsolódnak. MySQL szoftver adatbázis egyik népszerű alternatívája a Microsoft SQL Server, melyről világszerte több mint 5 millió telepítést végeznek..

A féreg az interneten történő terjedésén túl megpróbál kialakítani egy zombi "bot" hálózatot, mely lehetővé teszi távoli hackereknek DDoS támadás indítását a fertőzött számítógépekről.

"A rendszeradminisztrátoroknak kell biztosítaniuk hogy a rájuk bízott számítógépeket kellően védjék, folyamatosan frissített antivírus-alkalmazásokkal, jól, ésszerűen konfigurált tűzfalakkal és a friss biztonsági foltok (patchek) azonnali telepítésével" - mondta Graham Cluley. "Ha alkalmazod a szükséges lépéseket, akkor rosszindulatú malware a kemény, erőszakos terjedése során megtalálja ugyan az ilyen rendszert, de ezután elkerüli."

A Sophos szerint ez a féreg nem lesz olyan "hatékony", mint 2003-ban a SQL Slammer féreg, ami le lassította az internet egy részét.

A W32/Forbot-DY Windows hálózati féreg, ami megosztott hálózatokon terjed. A féreg tartalmaz hátsó ajtó funkciót, ami lehetővé teszi egy IRC csatornán keresztül a jogosulatlan távoli belépést a fertőzött számítógépre.

W32/Forbot-DY bemásolja magát a hálózati megosztásokba, mint msgfix.exe. Megpróbál létrehozni egy app_result.dll állományt a mySQL szerveren, ha megszerezte a hozzáférhetőséget.

Amikor fut, a féreg bemásolja magát a Windows System mappába spoolcll.exe néven. A Windows NT-alapú operációs rendszereken a W32/Forbot-DY mint "evmon" nevű szolgáltatás fut, a képernyőn mint "Event Monitor" látszódik.

A regisztrációs adatbázis kulcsihoz az alábbi bejegyzéseket teszi:

HKLMSYSTEMCurrentControlSetServicesevmon
HKLMSYSTEMCurrentControlSetEnumRootLEGACY_EVMON

A feltelepített W32/Forbot-DY létrehoz a fertőzött gépen egy HTTP proxy szervert, egy SOCKS4 szervert, megszüntetheti a hálózati megosztás kapcsoltakat, részt vehet DoS támadásokban, ellop különböző CD kulcsokat, illetve e-mail címeket - megtesz mindent, amire az írója programozta, vagy távolról a támadó utasítja.

A Forbot-DY féreg gyenge jelszóval védett megosztott hálózatokon terjed, kihasználva a Microsoft két biztonsági hibáját, az RPC-DCOM (MS03-039) és az LSASS (MS04-011) sebezhetőséget.
Kulcsszavak: Sophos vírus

Biztonság ROVAT TOVÁBBI HÍREI

Rébuszok helyett kézzelfogható megoldások a NIS2 fejtörőhöz

Nagy érdeklődés övezte a Gábor Dénes Egyetem NIS2 konferenciáját. Ennek egyik oka a téma aktualitása, hiszen a kiberbiztonság szavatolása kötelező törvényi előírás az érintett vállalatok részére. A másik ok, hogy kevés az egész folyamatot átfogó és bemutató esemény, amely nemcsak a NIS2 irányelvben meghatározott jogszabályi előírásokat mutatja be és értelmezi, hanem kézzelfogható, gyakorlati megoldásokat is kínál a vállalatok részére. 

2024. november 22. 11:39

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Idén is keresi a digitális szakma női példaképeit az IVSZ és a WiTH

2024. november 22. 16:40

Huszadik alkalommal adták át a Hégető Honorka-díjakat

2024. november 21. 16:58

Hosszabbít ’Az Év Honlapja’ pályázat!

2024. november 19. 09:54

Törj be a digitális élvonalba: Nevezz ’Az Év Honlapja’ pályázatra!

2024. november 14. 16:36