Мы получили новую модификацию IRC-трояна Backdoor.Win32.Wootbot. Файл бэкдора обнаруживается общей процедурой детектирования для семейства Wootbot (Backdoor.Win32.Wootbot.gen), но содержит в себе новую функцию — функцию проникновения на машины с установленным сервером MySQL.
Программа при запуске подсоединяется к одному из нескольких предопределенных IRC-серверов, где ждет команд от автора. Получив команду распространяться — сканирует указанный диапазон IP-адресов, и, найдя на каком-либо из них открытый порт сервера MySQL, пытается аутентифицироваться на сервере как администратор (root), подбирая пароль из своего списка возможных. В случае успешной аутентификации червь засылает свое тело на удаленную машину, используя старую уязвимость в MySQL, и запускает его.
Помимо функции распространения, программа содержит в себе стандартный набор функций IRC-бэкдора, предоставляющая автору практически полный контроль над зараженной системой. Открывает четыре порта — 69-й и три случайных.
Как сообщают специалисты Internet Storm Center, в настоящий момент заражено несколько тысяч машин.
Для изначального подключения к MySQL-серверу не используется никакая уязвимость. Поэтому для того, чтобы обезопасить сервер от нового червя, достаточно установить сложный пароль администратора (root).
Вредоносная программа распространяется по серверам MySQL