Червь MySQL поражает Windows-системы
Роберт Лемос (Robert Lemos), CNET News.com
28 января, 2005, 12:52
В системах баз данных начал распространяться червь, использующий неудачный выбор пароля администратором.
Злокачественная программа, которую называют MySQL bot или, по имени исполняемого файла, SpoolCLL заражает компьютеры с операционной системой Microsoft Windows и базой данных open source MySQL. Об этом сообщила организация Internet Storm Center в своем предупреждении, опубликованном в четверг. Судя по предварительным оценкам, к настоящему моменту может быть заражено свыше 8000 компьютеров, утверждает эта группа, наблюдающая за угрозами в сети.
Сначала червь получает доступ к базе данных, угадывая пароль системного администратора при помощи списка часто используемых паролей. Затем, воспользовавшись пробелом в защите MySQL, он исполняет так называемую бот-программу, которая полностью овладевает системой. «К боту прилагается длинный список паролей, и он взламывает систему методом грубой силы», — говорится в предупреждении Internet Storm Center.
Тем, что она заражает Windows-системы, исполняющие ПО баз данных, программа напоминает червя Slammer, широко распространившегося почти два года назад. Однако, в отличие от Slammer, от червя SpoolCLL защищает надежный пароль. К тому же базы данных MySQL гораздо чаще устанавливаются с операционными системами open source, такими как Linux. Это означает, что бот MySQL способен поразить лишь небольшое число компьютеров, подключенных к интернету.
Дефект, используемый червем для получения контроля над уязвимой системой, был обнаружен в середине 2004 года, а код, использующий этот дефект, — опубликован в конце декабря. Уязвимость, известная как MySQL UDF Dynamic Libray, вызвана тем, что программное обеспечение базы данных не производит адекватной проверки определяемых пользователем функций (UDF). Исправлена ли эта ошибка, неизвестно.
Компьютеры, зараженные червем, пытаются подключиться к одному из нескольких серверов Internet Relay Chat, чтобы получить новые цели и обновления, сообщает Internet Storm Center. Обследование серверов IRC показало 8500 подключенных хостов, что может указывать на то, что эти компьютеры заражены, хотя исследователи остерегаются давать количественные оценки. «Этот бот может использовать для своего распространения и другие механизмы, — говорит старший специалист секьюрити-фирмы LURHQ и участник анализа Internet Storm Center Джо Стюарт. — Мы не можем сказать наверняка, что все 8500 компьютеров заражены именно этим эксплойтом».
http://zdnet.ru/?ID=474821