Loại worm này bắt đầu hoạt động mạnh từ hôm 20/5. Các chuyên gia bảo mật và các nhà quản trị hệ thống đã nhận thấy sự bất bình thường trong các yêu cầu truy cập cổng 1433 tại các máy chủ chạy phần mềm Microsoft SQL Server.
Keith Morgan, Giám đốc bảo mật thông tin của Terradon Communications Group, cho biết hãng này đã phát hiện được 30 đợt quét cổng 1433 trong vòng 10 ngày trước khi các chuyên gia phát hiện ra loại worm nói trên. Riêng hôm 20/5 vừa qua hãng này đã ghi lại được 700 đợt quét tìm, và cho đến ngày 21/5 con số này đã lên tới 1.300 đợt. Một số hãng khác cũng thông báo về những kết quả tương tự.
Incidents.org, Website phản ứng sự cố máy tính của Viện Bảo mật và Quản trị mạng (SANS), cho biết có hơn 8.700 máy chủ bị worm tấn công vào hôm 20/5 và gần 74.000 máy chủ bị tấn công vào ngày 21/5. Tổng cộng, đã có 2.450 máy chủ bị nhiễm loại worm này. Incidents.org đã đặt tên cho worm là SQLSnake.
SQLSnake còn có một số cái tên khác, như Spida.a.worm hay DoubleTap. Nó tấn công vào các máy chủ có cài đặt phần mềm Microsoft SQL Server. Nếu phần mềm này chưa được vá lỗ hổng bằng bản sửa lỗi mà Microsoft đã phát hành hồi cuối tháng tư, đồng thời phần mềm để trống mật khẩu tài khoản người quản trị, thì máy chủ sẽ sơ hở. Đây chính là hai điều kiện để SQLSnake lợi dụng.
SQLSnake được viết bằng JavaScript. Sau khi xâm nhập vào máy chủ, worm sẽ bổ sung tài khoản khách (guest account) vào nhóm quản trị (administrator group) để giúp cho worm nắm quyền điều khiển máy chủ. Nó cũng sẽ thay đổi mật khẩu người quản trị để không xảy ra hiện tượng đa nhiễm (multiple infections).
Mặc dù SQLSnake là một loại worm nguy hiểm, tuy nhiên khả năng lây nhiễm vào các máy chủ là không cao, do ít có máy chủ nào đáp ứng đủ hai điều kiện đã đề cập ở trên, nhất là điều kiện mật khẩu người quản trị để trống.
Vì thế, các chuyên gia bảo mật đã khuyến cáo các nhà quản trị máy chủ SQL Server cài đặt bản sửa lỗi và đặt lại mật khẩu quản trị.
(Đăng Khoa-VASC, Theo CNet News)