Sinds gisteren dwaalt er een worm over het internet, die MySQL-servers op Windows-systemen probeert te misbruiken, zo meldt The Register. De worm genaamd 'MySpooler' is opzoek naar Windows machines die MySQL 4.0.21 of later draaien op poort 3306 en probeert vervolgens aan de hand van een lange lijst met wachtwoorden het root-wachtwoord te vinden. Als de worm dit wachtwoord gevonden heeft, maakt hij een tabel aan met daarin een executable. Dit bestand wordt vervolgens via de database op de harde schijf opgeslagen waarna de tabel weer verwijderd wordt. Middels de MySQL UDF Dynamic Library-lek wordt met een eigen MySQL-functie de executable als root gestart, waarna deze bot het lokale netwerk afzoekt naar nieuwe slachtoffers. Zodra de worm binnen is, maakt deze ook contact met een Zweedse IRC-server, in afwachting van nieuwe instructies.
In de eerste paar uur infecteerde de worm ongeveer 110 systemen per minuut. De kans is erg groot dat de bot gebruikt wordt om een DDoS-aanval (distributed denial of service) uit te voeren of om er alleen mee te dreigen om zo bedrijven geld afhandig te maken. Al vrij snel waren er genoeg systemen besmet om bijvoorbeeld de website van Microsoft plat te krijgen. De worm kan vrij eenvoudig gestopt worden door geen verbindingen met poort 3306 toe te staan, door een ingewikkeld root-wachtwoord in te stellen, of door het root-account alleen toegankelijk te maken voor mensen die lokaal zijn ingelogd.