amd.dll入侵事宜:
由于MySQL 5.1.30以上版本的一個漏洞(當然是不是因為漏洞的原因,目前暫未知),導緻一個後門程式會通過3306端口的MySQL服務擷取到Windows的管理權限,并在系統中産生amd.dll基本後門程式,并不斷釋放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程式,并在系統分區根目錄,Windows/system32目錄,Windows/system32/dllcache目錄,MySQL程式拓展目錄等地方産生殘留,導緻系統性能降低,系統權限表出現部分混亂。
此後門病毒将對安裝Microsoft Security Essentials的使用者産生不小的麻煩,MSE将有一定幾率認出amd.dll和boot*.exe為後門木馬或後門下載下傳病毒并進行删除處理,由于MSE機制,其對boot*.exe檔案需要20秒左右才能顯示清除完成,期間将占用絕大部分的CPU資源,但是被清除的檔案實際上并沒有被成功删除,而是仍然殘留在系統中,并且系統目錄下的病毒無法進行控制。
入侵環境:
1. 安裝有MySQL 5.1.30以上的版本,包括最新的MySQL 5.5.x版本,目前還未修複
2. MySQL服務的端口設定在TCP 3306
3. 3306端口暴露在廣域網下,或者暴露在含有病毒的區域網路下,包括DMZ主機
4. MySQL的root賬号密碼屬于可暴力破解範圍之内
滿足以上4個條件的MySQL服務均可能感染此後門,然而大部分測試使用的MySQL伺服器都是滿足以上4個條件的。
阻止入侵的臨時解決方案:
1. 轉移MySQL的服務端口,将TCP 3306封閉;
2. 将TCP 3306端口設定防火牆規則,不允許暴露在本機網絡之外,當然這将會導緻remote access權限的無效化;
3. 更改root賬戶密碼,使其密碼複雜度超出暴力破解範圍之外,比如不是任何一個英文單詞,或者存在混合字元。
清除計算機内部殘留的後門程式:
1. 根據amd.dll釋放路徑,進入各釋放目錄進行手動删除,前提是一定要先阻止入侵。
2. 斷掉網絡或阻止入侵,使用後門專殺進行全盤掃描。
從目前分析來看,此後門非注入式後門程式,比較容易手動排除,但是這個後門确實讓人有種想要格式化的沖動。。。