MySQL worm all'attacco di sistemi Windows

Il worm che approfitta della scelta di password di amministratore facili ha iniziato a diffondersi tra i database su sistemi Windows.

Il worm, noto come MySQL bot o dal nome dell'eseguibile, SpoolCLL, colpisce i computers con installati Windows e il database open-source MySQL. L'Internet Storm Center, in una advisory pubblicata giovedi ha comunicato la diffusione di questo codice malvagio. Le prime stime parlano di oltre 8.000 pc infettati.

Il worm si impossessa inizialmente dell'accesso al database, sfruttando un proprio dizionario di password comuni. Ottunuto l'accesso, sfrutta un difetto in MySQL che permette di eseguire un altro programma, noto come bot, che prende il controllo dell'intero sistema.

Questo worm ricorda un pò Slammer, almeno per il fatto che colpisce sistemi Windows con installati un database. Però a differenza di quest'ultimo, la scelta di una buona password è garanzia di protezione del sistema.

Comunque il database MySQL risulta essere installato in maggior modo su macchine con sistema operativo Linux, quindi la quantità di computer a rischio non è molto elevata.

La vulnerabilità usata dal worm è stata scoperta verso la metà dello scorso anno, ed il codice pubblicato il mese scorso. E' conosciuta con il nome MySQL UDF Dynamic Libray flaw.

I sistemi colpiti si connetteranno a dei server IRC per ottenere i possibili nuovi obiettivi ed aggiornamenti. Un'indagine sui server ha rilevato 8500 host connessi, ipotizzando che tante fossero le infezioni al momento.