Destaques

O CERT.PT associa-se à Secunia na sensibilização dos utilizadores Internet para a necessidade de removerem as vulnerabilidades dos seus computadores.

Secunia PSI Download do software Personal Software Inspector

Novo worm explora MySQL em Windows PDF Versão para impressão
Quarta, 02 Fevereiro 2005 15:35
I. Sumário

Existe um novo worm explorando MySQL em sistemas Windows. O worm infecta sistemas utilizando um ataque automatizado a passwords "fracas" para a conta de "root" do MySQL.

Administradores de MySQL são encorajados a aplicar os passos de mitigação abaixo mencionados tão cedo quanto possível para evitar infecção.

Sistemas não-Windows não são visados por este worm, mas são vulneráveis ao mesmo ataque se o MySQL estiver a correr como "root".


II. Detalhes

O worm instala um trojan executável (spoolcll.exe) na directoria System32. Spoolcll.exe é instalado como um novo serviço "Event Monitor".

Spoolcll.exe liga a um de vários servidores de IRC para receber instruções sobre mais alguma acção a executar. Também despoleta 3 portos à escuta, que se observaram ser o UDP 69, TCP 2314 e TCP 2311, embora estes portos possam variar.

O trojan pode ser comandado para lançar ataques distribuídos de negação de serviço, controlar remotamente um sistema infectado, sondar blocos de endereços IP e infectar outros sistemas vulneráveis.

O executável malicioso instalado por este worm é detectado por vários produtos anti-virus como uma variante do Wootbot.


III. Mitigação

o Modificar a password da conta de root do MySQL, de forma a torná-la mais "forte".

o Configurar o MySQL para apenas aceitar ligações de "root" a partir do sistema local.

Estes dois passos podem ser implementados utilizando o MySQL 4.1 Server Instance Configuration Wizard. Em "Modify Security Settings", deve introduzir-se uma password forte e escolher "Root may only connect from localhost".

o Correr o MySQL com utilizador sem privilégios. Isto é possível em Windows com MySQL 4.0.17 e superiores, e MySQL 4.1.2 e superiores.

o Bloquear ligações provenientes da internet para o MySQL instalando uma regra de firewall que bloqueie o tráfego de entrada ao porto 3306.


IV. Referências

Fonte do Alerta: AUSCERT - http://www.auscert.org.au/render.html?it=4772

SANS Handler"s Diary January 27 2005 - http://isc.sans.org/diary.php?date=2005-01-27
 

Missão

O CERT.PT tem como missão contribuir para o esforço de cibersegurança nacional nomeadamente no tratamento e coordenação da resposta a incidentes, na produção de alertas e recomendações de segurança e na promoção de uma cultura de segurança em Portugal.

PT EN

Contactos

Av. do Brasil 101 
1700-066 Lisboa 
Portugal

Tel: +351 218440177 (9h30-12h30, 14h00-17h30; GMT)  
Fax: +351 218472167

email:

pgp: 342A 17BA DF71 E193 6871 0357 8BDE A247 C523 AAE7

Filiação internacional

Acreditação Internacional