245226

Wurm macht sich an MySQL-Installationen ran

28.01.2005 | 12:54 Uhr |

Ein neuer Wurm ist unterwegs und nimmt sich ans Internet angeschlossene Rechner vor, die MySQL unter Windows laufen haben.

Einige tausend Windows-Maschinen auf denen das Open-Source-Datenbanksystem läuft, sollen laut einem Sicherheitsexperten bereits infiziert sein. Die Malware ist eine neue Variante des Netzwerk-Wurms Forbot, der erstmals im Juli letzten Jahres auftauchte.

Über diese jüngste Forbot-Version stolperten Mitte der Woche Web-Entwickler aus Australien. Sie berichteten von mit einem Programm namens "spoolcll.exe" infizierten Rechnern. Dieses versuchte zu einem Internet-Relay-Chat-Channel in Schweden Kontakt herzustellen, so Johannes Ullrich, Chief Technology Officer beim Internet Storm Center (ISC) . Zudem bemerkte man eine Spitze bei den Scans nach dem Port 3306 - Forbot's Einfalltor.

Der Forbot-Ableger knackt Administrator-Zugänge, die mit schwachen oder natürlich gar keinen Passwörtern gesichert sind. Dazu ist der Wurm laut Ullrich mit einer rund 1000 Wörter umfassenden Passwort-Liste ausgestattet, die er nach und nach ausprobiert.

Wenn der Wurm sich Zugang verschafft hat, nutzt er eine bereits bekannte Schwachstelle - MySQL UDF Dynamic Library Exploit - um zusätzlichen Code herunterzuladen und zu installieren. Der Exploit wurde im Dezember entdeckt und erlaubt es Angreifern mit "Root"-Administrator-Rechten, die Standard-Funktionen für den Account auszuweiten, so Joe Stewart, Senior Security Researcher bei LURHQ Corp .

0 Kommentare zu diesem Artikel
245226