MySQL-orm på avveie

Ormen, kjent som SpoolCLL, infiserer kun Windows-maskiner som kjører MySQL, og bruker en liste over vanlige administrator-passord for å få tilgang. Når den er inne, oppretter den en ny tabell med navnet "bla", der den lagrer innholdet i en DLL-fil. Deretter lagrer den DLL-filen på disk, via en SELECT-spørring, og den laster deretter DLL-filen gjennom en MySQL-funksjon, og prosessen forsøker å finne en ny maskin å infisere.

Ormen blir styrt gjennom ulike IRC-servere, og inneholder blant annet en DDoS-motor, ulike nettverksskannere, en FTP-server, og muligheten til å sende informasjon fra det infiserte systemet. Ingen sårbarheter i MySQL blir brukt av ormen.

De fleste store anti-virusprogrammer finner nå ormen. For å unngå å bli infisert bør du gi administratorkontoen i MySQL et langt passord, og eventuelt begrense pålogging til root-kontoen til spesifikke IP-adresser.

Kilder: SANS - Internet Storm Center, CNet News.com

Kommentarer (0)

Norges beste mobilabonnement

Mars 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

Komplett MiniFlex 1GB


Jeg bruker middels mye data:

Telio FriBruk 5GB+EU


Jeg bruker mye data:

Komplett MaxiFlex 10GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen