Специалисты считают, что правонарушителей привлекает сам факт большого количества серверов MySQL.
Отмечается, что на данный момент самым большим атакам подверглись хостинг-провайдер в США Америки, а кроме этого IP-адрес, который был зарегистрирован в КНР. Имена жертв не разглашаются.
Профессионалы Symantec советуют внимательно следить за возникновением в системе новых пользователей, а также, чтобы настройки удаленного доступа к серверу были заданы правильно. «При помощи такого масштабного ботнета можно предпринимать атаки на высокопрофильные цели».
По достоверной имеющейся информации ученых, инфицированные серверы расположены в 10 государствах мира, однако огромная их часть приходится на Индию, Китай, Бразилию и Нидерланды.
«Мы думаем, что злоумышленники скомпрометировали MySQL-серверы из-за их не менее высокой пропускной способности».
Нападения осуществляются с помощью особой вредной UDF, которая создана для загрузки Chikdos. В этом случае UDF применяется в качестве загрузчика, а еще для модификации строчек регистра с целью активации терминальных сервисов (TerminalServices).
После этого с 2-х вредных веб-сайтов загружаются две разновидности Chikdos. И ежели два года назад в процессе похожей кампании атакующие использовали червя для компрометации MySQL-серверов и установки UDF, в этот раз вектор атаки неизвестен. В первый раз обнаруженный троян Chikdos инфицировал компьютеры под управлением ОС Windows и Linux, после чего использовал эти системы для проведения DDoS-атак.
