|
התולעת (אשר זכתה לשם MySpool) משתמשת באקספלוייט "MySQL UDF Dynamic Library Exploit" בשביל להריץ קוד בלתי מורשה.
חשוב להדגיש שהתולעת לא מנצלת שום פרצה ב־MySQL, אלא מנסה לחדור להתקנת MySQL שפתוחה לגישה מהאינטרנט ע"י ניחוש סיסמת המנהל, ואז משתמשת במנגנון ההרחבות של MySQL הקרוי UDF כדי להתקין תוסף שמכיל את קוד התולעת.
על מנת להשתמש באקספלוייט הנ"ל, התולעת מנסה לפרוץ בכח את סיסמאת המנהל (administrator). אם התולעת מצליחה לפרוץ לחשבון, היא יוצרת טבלה בשם bla בעזרת המסד mysql הקיים בכל התקנה של MySQL ומכניסה לתוך הטבלה את קוד התולעת.
תוכן הטבלה נשפך אל הקובץ app_result.dll. הקובץ מורץ ומתחבר לשרת IRC על מנת לקבל הוראות לאילו כתובות להפיץ עצמו.
דרכי זיהוי:
- הגברת תעבורה בפורט 3306 (פורט ש-mysql משתמש בו)
- לעיתים שימוש בפורטים 5002, 5003
- התולעת יוצרת גם קובץ בשם 'spoolcll.exe' במחשב הפגוע
כיצד להמנע מהבעיה
- לא לפתוח את MySQL לאינטרנט.
אין כמעט אף מחשב שבו נדרשת גישה ישירה מבחוץ ל־MySQL
- סיסמת מנהל מורכבת. התולעת הזו מנסה לנחש את הסיסמה.
קישורים:
SANS - internet storm center - תיאור מפורט יותר על פעילות התולעת
פורום Whirlpool אוסטרליה - איזכור ראשון לתולעת
הערה: הידיעה עודכנה ע"י דוביקס בהתאם להבהרות שהתקבלו מצפריר. | |
|
תולעת חדשה תוקפת שרתי MySQL על חלונות [עודכן] | כניסה / יצירת מנוי חדש | 6 תגובות |
| ההערות הינן מטעם כותביהן. אין צוות האתר לוקח אחריות על תוכנן |
|
|