|
|
|
|
|
Sommaire Sécurité |
|
Un ver se propage en forcant l'accès aux bases MySQL |
La dernière version de MySQL bot se propage rapidement depuis sa découverte, mercredi dernier. Susceptible d'avoir contaminé plus de 8 000 postes, il vise à établir un nouveau réseau de PC zombies.
(31/01/2005) |
|
|
En
savoir plus |
|
Dossier
Virus |
Un ver exploitant la faiblesse des mots de passe des bases de
données Web est apparu dans la journée du mercredi 26 janvier,
selon le centre de surveillance des menaces Internet, antenne
du laboratoire d'analyse en sécurité SANS Institute. Contaminant
100 nouveaux PC par heure, ce ver est susceptible d'avoir déjà
touché près de 8 000 ordinateurs dans le monde.
Baptisé "MySQL bot" ou Forbot, ce ver affecte uniquement
les bases de données MySQL de versions 4.0.21 ou supérieures
installées sur des systèmes Windows. Il tire parti
d'une faille de sécurité découverte à la fin du premier semestre
2004 et dont le code d'exploitation (exploit) a été
publié au mois de décembre dernier. Cette faille, connue sous le nom
de MySQL UDF Dynamic Libray Flaw, permet à un utilisateur
doté de permissions administrateur d'étendre ses fonctions
disponibles.
Pour
se propager, le ver se connecte à une liste de serveurs de
discussions IRC en ouvrant les ports 5002 et 5003 puis scanne
les différents réseaux à la recherche de serveurs MySQL. Une
fois connecté en tant qu'administrateur, le ver force le code
d'accès en essayant une liste d'un millier de mots de passe.
S'il réussit à pénétrer le système, il crée ensuite
une table temporaire puis lance une requête afin d'exécuter à distance
le fichier "app_result.dll". Ce fichier crée la fonction "app_result"
qui, en relation avec "app_result.dll", peut alors continuer
sa propagation.
L'objectif de MySQL bot est aujourd'hui uniquement centré
sur l'infection de nouvelles machines et n'a pas de charge
destructrice. En revanche, le SANS Institute avertit qu'il
contient des fonctions endormies capables de le transformer
en moteur d'attaques en déni de service, en renifleur de clavier
ou en cheval de Troie pour une prise de contrôle du PC contaminé
à distance. MySQL bot fait par ailleurs office de serveur FTP et ouvre
certains ports sur la machine infectée, notamment les ports
TCP 2301 et 2304.
Quatre méthodes de protection ont été recommandées
par l'institut de sécurité. En premier lieu, le SANS Institute
conseille l'utilisation d'un pare-feu pour se prémunir d'un
accès direct par le port 3306. Deuxième solution, l'utilisation
d'un mot de passe résistant à la casse. Troisième solution,
restreindre l'accès administrateur de la base de données MySQL
aux connexions locales et interdire les connexions distantes.
Dernière solution, le déploiement d'un antivirus à jour. Il
est fortement conseillé d'appliquer l'ensemble de ces quatre
méthodes.
|
En
savoir plus |
|
Dossier
Virus |
L'épidémie a été découverte par des développeurs Web en Australie,
lorsqu'un programme inconnu appelé spoolcll.exe tentait de
se connecter à un relais de chat en Suède. La menace reste
toutefois modérée, les éditeurs d'antivirus soulignant le
fait que la signature du ver est connue depuis le mois de
juillet 2004 et qu'il a déjà fait l'objet de plusieurs répliques.
Les experts lancent également une alerte de sécurité concernant
l'apparition de deux nouvelles variantes de Bagle, les versions
AY et AZ. |
|
|
|
|
|
|
|