SQL Server minacciato dal worm-DDoS

Un nuovo worm per MS SQL Server è balzato alle cronache perché porta con sé - in un unico pezzo di codice - le caratteristiche di un tool DDoS e quelle di un worm


Web – La nota firma di sicurezza SecurityFocus ha annunciato negli scorsi giorni di aver identificato un nuovo strumento virale che combina le caratteristiche tipiche di un tool per attacchi di distributed denial of service (DDoS) a quelle di un Internet worm.

Il nuovo vermicello, conosciuto con il nome di “Voyager Alpha Force”, colpisce i sistemi su cui gira Microsoft SQL Server nella sua configurazione standard, che prevede un account di amministrazione senza password. Nei giorni seguenti il SecurityFocus ARIS Incident Analysts ha scoperto che il worm è in grado di analizzare tutti gli account di System Administrator alla ricerca di password specificate dall’assalitore.

Quando riesce a penetrare in un sistema, il worm cerca di scaricare dalla rete e installare due cavalli di Troia, “win32mon.exe” e “dnsservice.exe”, che possono dare ad un cracker il controllo del server. Questi file potrebbero comunque cambiare nome e locazione rendendo più difficile arginare le attività del virus.

Voyager può essere controllato da un assalitore attraverso IRC, uno strumento di comunicazione già utilizzato in passato da altri worm per diffondersi e lanciare attacchi DDoS.

Gli esperti di sicurezza consigliano agli amministratori di sistema di chiudere la porta 1433, che è quella utilizzata dal worm per analizzare la rete alla ricerca di altri server vulnerabili ove potersi replicare.

Al momento, il worm avrebbe infettato poco più di 300 macchine: nulla in confronto a “enfant terrible” come Nimda o Code Red, tuttavia Elias Levy, CEO di SecurityFocus.com, sostiene che Voyager “è un’arma che aspetta solo che qualcuno prema il grilletto”. Gli esperti temono inoltre eventuali varianti più maligne ed in grado di mascherarsi con più efficacia.

Per fortuna – sostengono alcuni esperti – non sono molti gli amministratori di sistema che commettono un errore così grossolano come quello di lasciare attivo, in SQL Server, un account di super utente privo di password.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    La vera vulnerabilità di un programma di posta...
    ...è l'utonto che fa doppio click "su tutto ciò che si muove": icone, link etc.Aivoglia a patch!
    • Anonimo scrive:
      Re: email all'ufficio personale
      - Scritto da: James T. Kirk
      ...?l'utonto che fa doppio click "su tutto
      ci?che si muove": icone, link etc.
      Aivoglia a patch!non parlando dei giochini infettati che si portano da casa.prima di introdurre l'antivirus corporate che ora usiamo era un continuo, ogni mese ci toccava piallare le macchine cristonando contro bill, ora ci arriva la notifica dell'infezione via mail con il nome del file e provvediamo immediatamente ad inviarla al capo dell'ufficio personale dopo due licenziamenti (giochino e mpg con titolo lolitafuck ecc..) sono mesi che non reinstalliamo più e bill ora e solo un amico.
      • Anonimo scrive:
        Re: email all'ufficio personale

        non parlando dei giochini infettati che si
        portano da casa.
        prima di introdurre l'antivirus corporate
        che ora usiamo era un continuo, ogni mese ci
        toccava piallare le macchine cristonando
        contro bill,Peccato che tutto questo bel discorso in questo caso non c'entri nulla perché questo virus parte da solo semplicemente visualizzando il messaggio, senza bisogno di aprire alcun allegato. E' pacifico che un antivirus corporate lo blocca e impedisce l'infezione, ma non è una buona ragione per NON biasimare i buchi che Outlook si porta dietro e tirare invece in ballo le stupidaggini che commettono gli utenti.Semmai in questo caso l'antivirus corporate è quello che mette una pezza ed evita al sistemista di aggiornare le macchine della rete: la volta che un virus sfrutterà un buco conosciuto (e tappato da un pezzo), ma arriverà PRIMA dell'aggiornamento dell'antivirus, non saranno gli utenti a saltare e rischiare il licenziamento, sarà solo il sistemista pigro che non ha aggiornato un bel nulla confidando nell'ombrello dell'antivirus.
Chiudi i commenti