Das Internet Storm Center warnt vor einem Wurm, der über verwundbare MySQL -Installationen in Windows-Rechner eindringt und sich mit IRC-Servern zum Empfang weiterer Befehle in Verbindung setzt. Derzeit instruieren die Server den mit Bot-Funktionen ausgestatteten Wurm, nur nach weiteren angreifbaren Systemen zu suchen und in sie einzudringen. Bislang sollen über 8500 Systeme weltweit befallen sein.
Der Bot nutzt den Ende Dezember veröffentlichten MySQL UDF Dynamic Library Exploit , um in eine Tabelle geschriebenen Code mittels User Defined Functions auszuführen. Vorher muss der Bot sich allerdings über das Netzwerk mit dem MySQL -Server auf Port 3306 verbinden und anmelden. Standardmäßig ist eigentlich nur eine lokale Anmeldung (localhost) an den Server möglich. Zusätzlich muss er das Passwort des Root-Accounts der MySQL -Datenbank knacken. Dazu probiert er zunächst eine lange Wörterliste aus, ehe er zu einem Brute-Force-Angriff übergeht. Ist er mit der Datenbank verbunden, erzeugt er die Tabelle "bla" und kopiert ausführbaren Code hinein. Anschließend schreibt er mit dem Kommando: 'select * from bla into dumpfile "app_result.dll"' diese Library auf die Festplatte und löscht die Tabelle "bla". Um "app_result.dll" nun zu starten, erzeugt der die User Defined Function app_result, die die Library aufruft und eine neue Instanz (Spoolcll.exe) des Bot/Wurms zum Leben erweckt. Läuft MySQL mit System-Rechten, so erbt der Bot diese beim Aufruf.
Nach Angaben des ISC sind bereits einige IRC-Server, die die Schädlinge steuern, abgeschaltet. Der Channel, zu dem sich der Bot über die Ports 5002 und 5003 verbindet heißt #rampenstampen . Der als Variante des WootBot identifizierte Schädling trägt neben Funktionen zum Ausspähen des Systems auch Funktionen für Distributed-DoS-Attacken, Scanner, FTP-Server und eine weitere Backdoor auf den TCP-Ports 2301 und 2304 in sich.
Anwender sollten ihre MySQL -Installation auf verdächtige Aktivitäten hin untersuchen. Das ISC weist explizit darauf hin, dass keine Schwachstelle in MySQL die Ursache für die Einbrüche von Wootbot sind, sondern allein fehlerhafte Konfigurationen und schwache Passwörter. Da die meisten Datenbank von Skripten und Anwendungen abgefragt werden, die auf demselben Server laufen, lässt sich in vielen Fällen die Netzwerkbindung problemlos lösen. Wo dies nicht möglich ist und auch eine Firewall nicht schützen kann, sollten Administratoren die Qualität des Root-Passwortes der Datenbank prüfen.