Nowy robak atakuje instalacje MySQL

W sieci pojawił się robak/bot, znany jako „UDF Worm”, który atakuje instalacje MySQL na systemach Windows. Aktywność robaka można obserwować na porcie 3306/TCP.

Robak włamuje się do serwera MySQL wykorzystując słabe bądź puste hasło użytkownika „root”. Po wejściu na system robak wykorzystuje funkcjonalność UDF (User Defined Function) bazy MySQL, do zdefiniowania własnej funkcji i ściągnięcia wariantu robaka „Wootbot”. Wootbot sterowany jest za pomocą serwerów IRC i oferuje standardową „funkcjonalość” spotykaną obecnie w botach. Wykrywany jest przez niektóre oprogramowanie antywirusowe.

Robak próbuje atakować systemy, poprzez skanowanie MySQL na porcie 3306/TCP. Aby sprawdzić, czy komputer jest zainfekowany, należy wydać polecenie: „SELECT * FROM mysql.func;”. Jeżeli w odpowiedzi znajdzie się UDF o nazwie „app_result”, to nastąpiła udana infekcja systemu. Robaka usunąć można wykonując polecenie „DROP FUNCTION app_result;”. Należy pamiętać, że nazwa funkcji UDF może ulec zmianie, kiedy w sieci pojawią się nowe odmiany robaka.

Aby zabezpieczyć się przed podobnym atakiem, należy filtrować ruch przychodzący na port 3306/TCP, stosować trudne do odgadnięcia hasła i ograniczyć możliwość zdalnego logowania się jako root w bazie.

Więcej informacji na stronach MySQL.

Źródło informacji: CERT Polska