Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 28/1/2005
Det stigende antal scanninger efter Mysql-computere skyldes ikke som først antaget en orm. De kommer fra et botnet, der angriber sårbare installationer af Mysql på Windows.Et botnet er et netværk af robotter, det vil sige computere, som en angriber kan fjernstyre. Deltagerne i botnettet lytter efter kommandoer fra angriberen på en IRC-kanal (Internet Relay Chat). Sådan et botnet med over 8.000 deltagere foretager for tiden scanninger efter port 3306, som anvendes af databaseprogrammet Mysql.
Internet Storm Center har fundet ud af, at botnetprogrammet inficerer en computer ved at udnytte en sårbarhed i den måde, Mysql er installeret på under Windows. Sårbarheden består i et svagt administratorpassword, der er let at gætte.
Når først botnetprogrammet er installeret, benytter bagmanden det til at installere andre tjenester på computeren. Robert Hensing fra Microsoft har således set et eksempel på, at en overtaget pc blev brugt til at distribuere piratkopier af film, musik og programmer.
Botnetprogrammet er identificeret som en variant af programmet Wootbot. Det ser ud til at lytte på TCP-portene 2301 og 2304.