MySQL-orm på avveie

Ormen, kjent som SpoolCLL, infiserer kun Windows-maskiner som kjører MySQL, og bruker en liste over vanlige administrator-passord for å få tilgang. Når den er inne, oppretter den en ny tabell med navnet "bla", der den lagrer innholdet i en DLL-fil. Deretter lagrer den DLL-filen på disk, via en SELECT-spørring, og den laster deretter DLL-filen gjennom en MySQL-funksjon, og prosessen forsøker å finne en ny maskin å infisere.

Ormen blir styrt gjennom ulike IRC-servere, og inneholder blant annet en DDoS-motor, ulike nettverksskannere, en FTP-server, og muligheten til å sende informasjon fra det infiserte systemet. Ingen sårbarheter i MySQL blir brukt av ormen.

De fleste store anti-virusprogrammer finner nå ormen. For å unngå å bli infisert bør du gi administratorkontoen i MySQL et langt passord, og eventuelt begrense pålogging til root-kontoen til spesifikke IP-adresser.

Kilder: SANS - Internet Storm Center, CNet News.com

Norges beste mobilabonnement

Juni 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Ice Mobil 1 GB


Jeg bruker middels mye data:

Telio Go 5 GB


Jeg bruker mye data:

Komplett Maxiflex 12 GB


Jeg er superbruker:

Komplett Megaflex 30 GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen