A vírus teljes mértékben kiszolgáltatottá tudja tenni a szervereket a külső károkozásokkal szemben, már több száz SQL Server kiszolgálót fertőzött meg világszerte.
Egy komoly fenyegetést jelentő kártékony program megjelenésére hívták fel a figyelmet a DCSO CyTec biztonsági kutatói. Kifejezetten Microsoft SQL Servert futtató kiszolgálók megfertőzésére alkalmas a károkozó, ami alapvetően a Microsoft adatbáziskiszolgálójával kompatibilis SQL utasításokkal vezérelhető.
A Maggie névre keresztelt kártevőhöz egy sqlmaggieAntiVirus_64.dll (Extended Stored Procedure DLL) fájl tartozik, ami egy DEEPSoft Co. Ltd nevű, dél-koreai céghez kapcsolódik. Elképzelhető, hogy korábban sikerült megszerezniük e vállalat tanúsítványát a vírusíróknak, amivel most visszaélnek.
A szóban forgó DLL-állomány feladata, hogy kiterjessze az SQL server képességeit, főleg olyan irányba, hogy SQL-utasításokkal minél több fájlművelet legyen végrehajtható. Egy olyan hátsó kapu kiépítésére is alkalmas, amelyen keresztül a támadók jelenleg akár 51 utasítást is kiadhatnak. Többek között az alábbiakat:
· rendszerinformációk lekérdezése
· programok futtatása
· fájlműveletek
· távoli asztali kapcsolatok engedélyezése
· SOCKS5 proxy létrehozása
· TCP-adatforgalom és port átirányítás
· brute force támadások indítása további SQL kiszolgálók ellen.
A Maggie további műveleteket is képes végrehajtani négy exploitjának köszönhetően, például új felhasználói fiókokat hozhat létre a támadók kívánalmainak megfelelően.
Tehát a Maggie egy olyan eszköze a kiberbűnözőknek, amelynek révén nem kizárólag az adatbáziskiszolgálók kompromittálhatók, hanem akár teljes helyi hálózatok is kiszolgáltatottá válhatnak.
Jelenleg elsősorban Dél-Koreában, Indiában, Vietnámban, Kínában, Oroszországban, Németországban és az USA-ban okoz problémákat a kórokozó.