Wurm verbreitet sich per MySQL

Vor einem neuen Wurm, der sich per MySQL verbreitet, warnt seit heute das SANS Internet Storm Center (ISC) . Der Wurm befällt nur Windows Systeme die einen nach aussen offene 3306 Port (Standart MySQL Port) vorweisen können. Hat der Wurm einmal eine Opfer infiziert veruscht er sich mit einem IRC-Server zu verbinden von dem er weiter Instruktionen erhält.Gleichzeitig hält der Wurm ausschau nach weiteren potenziellen Opfern.

Laut SANS ISC nutzt der Wurm den „MySQL UDF Dynamic Library Exploit“. Um sein Ziel zu erreichen versucht der Wurm sich an der Datenbank als User „root“ anzumelden. Hat er diese Hürde erst einmal genommen, legt er in der Datenbank „mysql“ die Tabelle „bla“ an und füllt diese mit einem BLOB-Feld namens „line“.

Ist die Tabelle erst einmal angelegt schreibt sich der Wurm selber in das Feld line und dann wieder aus Ihr als app_result.dll heraus (’select * from bla into dumpfile „app_result.dll“‚) und führt sich aus. Anschließend wird die Tabelle „bla“ wieder gelöscht.

Nun ja, nach einer wirklichen schwachstelle sieht das nicht gerade aus, vielmehr nutzt der Wurm die Nachlässigkeit der User / Administratoren in Bezug auf das Rootpasswort aus. Laut SANS ISC erkennen aber schon viele Anti-Viren-Scanner die Binary des Wurmes, doch auch ohne laufenden Scanner kann man sich schützen!

  • Ein sicheres Passwort für den Root Account wählen
  • Nur sichere Vebindungen zu der MySQL Datenbank zulassen (bekannte Hosts, nur „localhost“ oder die MySQL eigene SSL Connection
  • Die Firewall so einstellen, das niemand von außen (O-Ton „wild outside“) auf den MySQL Port 3306 zugreifen können

Quelle: Golem | SANS ISC