Вредоносная программа распространяется по серверам MySQL

Мы получили новую модификацию IRC-трояна Backdoor.Win32.Wootbot. Файл бэкдора обнаруживается общей процедурой детектирования для семейства Wootbot (Backdoor.Win32.Wootbot.gen), но содержит в себе новую функцию — функцию проникновения на машины с установленным сервером MySQL.

Программа при запуске подсоединяется к одному из нескольких предопределенных IRC-серверов, где ждет команд от автора. Получив команду распространяться — сканирует указанный диапазон IP-адресов, и, найдя на каком-либо из них открытый порт сервера MySQL, пытается аутентифицироваться на сервере как администратор (root), подбирая пароль из своего списка возможных. В случае успешной аутентификации червь засылает свое тело на удаленную машину, используя старую уязвимость в MySQL, и запускает его.

Помимо функции распространения, программа содержит в себе стандартный набор функций IRC-бэкдора, предоставляющая автору практически полный контроль над зараженной системой. Открывает четыре порта — 69-й и три случайных.

Как сообщают специалисты Internet Storm Center, в настоящий момент заражено несколько тысяч машин.

Для изначального подключения к MySQL-серверу не используется никакая уязвимость. Поэтому для того, чтобы обезопасить сервер от нового червя, достаточно установить сложный пароль администратора (root).