Voyager Alpha Force bedreigt webservers

Op SecurityFocus is een alarmerend verhaal te lezen over Voyager Alpha Force, een hybride virus dat waarschijnlijk gebruikt kan worden om DDoS aanvallen te lanceren. Het wormgedeelte van de tool probeert andere computers verbonden aan het internet binnen te dringen via poort 1433, waar Microsoft SQL Server naar luistert. Dit pakket heeft een ingebouwde beheerdersaccount die blijkbaar vaak zonder wachtwoord open staat. Als het programma zichzelf eenmaal genesteld heeft kan het net als zijn voorganger "Kaiten" een verbinding maken met een IRC server, waarna de machine een bepaald kanaal (met een door de verspreider ingesteld wachtwoord) zal proberen te betreden. Vanuit dat kanaal kan de "eigenaar" van de worm opdrachten geven aan zijn slachtoffers, bijvoorbeeld om een site waarvan hij niet zo gecharmeerd is te bestoken met dataverkeer:

On November 20th, at approximately 4 AM PST, SecurityFocus ARIS™ Incident Analysts identified a rapidly growing network of controlled agents or "bots", increasing 600% in the last 6 hours, which can be used to launch a DDoS attack. The tool is propagated through incorrectly configured Microsoft™ SQL server systems by scanning the System Administrator accounts that contain a password specified by the attacker.

[...] The tool named "Voyager Alpha Force," a modified and enhanced version of the DDoS tool, Kaiten, is human controlled through Internet Relay Chat (IRC) communications by connecting to an IRC server and joining a password-protected channel. An attacker is effectively able to control a large number of agents residing on compromised hosts, by issuing commands that would initiate a DDoS attack or cause the program to continue propagating.

Verwijderd wordt bij deze bedankt voor zijn submit.