• Tweet

Un gusano que toma ventaja de contraseñas débiles de administrador ha comenzado a propagarse entre los sistemas de bases de datos.

El programa malicioso conocido como MySQL bot o por el nombre de su código ejecutable, SpollCLL, infecta equipos ejecutando el sistema operativo Microsoft Windows y base de datos de código abierto conocida como MySQL, de acuerdo con un boletín publicado el martes por el Internet Storm Center. Las primeros reportes indican que más de 8,000 equipos podrían haber sido infectados de acuerdo con lo monitoreado por el grupo de seguridad.

El gusano obtiene acceso inicial a un equipo de base de datos descifrando la contraseña del administrador del sistema, utilizando contraseñas comunes. Después, utiliza una falla en MySQL para ejecutar otro tipo de programa, conocido como un software del tipo bot (programa que corre automáticamente, sin intervención humana), que permite tomar el control completo del sistema.

"Una larga lista de contraseñas esta incluida con el bot, y el bot utiliza mecanismos de fuerza bruta para descifrar la contraseña", de acuerdo con el boletín del Internet Storm Center.

Debido a que el gusano infecta sistemas Windows ejecutando el software de base de datos, el programa parece ser similar al gusano Slammer, el cual se propagó ampliamente hace dos años. Sin embargo, a diferencia de Slammer, una contraseña robusta ayuda a proteger contra SpoolCLL, de acuerdo a los análisis actuales.

Sin embargo, la base de datos de MySQL es mucho más comúnmente utilizada en sistemas operativos libres, como Linux. Esto significa que solo una pequeña fracción de equipos conectados al Internet podrían ser comprometidos por el llamado MySQL bot.

Los equipos infectados por el bot intentarán conectarse a uno de varios servidores de IRC para obtener nuevos objetivos y actualizaciones, de acuerdo con el Internet Storm Center. Un análisis de servidores IRC encontró 8,500 equipos conectados, posiblemente podrían ser equipos infectados, aunque los investigadores fueron cuidadosos en calificar el número.

"Este bot podría utilizar otros mecanismos para propagarse", de acuerdo con Joe Stewart, un investigador principal de la firma de seguridad LURHQ y un contribuidor en el análisis realizado por el Internet Storm Center. "No podemos asegurar que todas los 8,500 equipos fueron infectados por este exploit en particular".