Forbot-Wurm bahnt sich den Weg mit Gewalt und attackiert MySQL-Datenbanken

28.01.2005 Die Virenexperten bei Sophos warnen Computernutzer vor einer neuen Variante des Forbot-Wurms, der MySQL Open Source Datenbanksoftware zum Ziel hat.

Betroffen sind Rechner mit einem Windows- Betriebssystem, die mit dem Internet verbunden sind. MySQL ist eine beliebte Alternative zu der SQL Server Datenbanksoftware von Microsoft und Schätzungen gehen davon aus, dass es mehr als fünf Millionen Installationen weltweit gibt.

Der W32/Forbot-DY Wurm ist der neueste Sprössling der Forbot-Familie, deren erster Vertreter Mitte des vergangenen Jahres sein Unwesen trieb. Der Wurm verbreitet sich nicht nur über das Internet, sondern versucht auch, ein Zombie-PC-Netzwerk zu bilden. Mit Hilfe dieser infizierten Rechner können Hacker aus der Ferne eine Denial-of-Service-Attacke starten.

'System-Administratoren sollten sicherstellen, dass ihre Rechner mit der neuesten Antiviren- Software, einer vernünftigen Firewall- Konfiguration und aktuellen Sicherheitspatches geschützt sind', sagt Graham Cluely, Senior Technology Consultant bei Sophos. 'Sind alle notwendigen Schutzmaßnahmen umgesetzt, wird sich die Malware die Zähne daran ausbeißen und sich nicht weiter verbreiten können.'

Forbot-DY versucht, sich über Netztwerkfreigaben, die nur mit einfachen Passwörtern geschützt sind, auszubreiten, und nutzt dabei zwei Microsoft Sicherheitsschwachstellen: RPC-DCOM (MS03-039) und LSASS (MS04-011).

'Der Forbot Wurm wendet beim Knacken der schwachen Passwörter nackte Gewalt an', fährt Graham Cluley fort. 'Die Botschaft an System-Administratoren ist daher klar: Stärken Sie unbedingt sofort die Passwörter, um diese Art von Angriff zu stoppen und unmöglich zu machen.'

Sophos geht nicht davon aus, dass dieses Schadprogramm die gleichen Auswirkungen haben Wird wie der SQL Slammer Wurm, der Anfang 2003 Teile des Internets verlangsamt hat.

• Wurm Forbot-DY