amd.dll入侵事宜： 

由于MySQL 5.1.30以上版本的一个漏洞（当然是不是因为漏洞的原因，目前暂未知），导致一个后门程序会通过3306端口的MySQL服务获取到Windows的管理权限，并在系统中产生amd.dll基本后门程序，并不断释放boot1.exe/boot2.exe/12345.exe/net.exe/net1.exe....等等垃圾程序，并在系统分区根目录，Windows/system32目录，Windows/system32/dllcache目录，MySQL程序拓展目录等地方产生残留，导致系统性能降低，系统权限表出现部分混乱。 此后门病毒将对安装Microsoft Security Essentials的用户产生不小的麻烦，MSE将有一定几率认出amd.dll和boot*.exe为后门木马或后门下载病毒并进行删除处理，由于MSE机制，其对boot*.exe文件需要20秒左右才能显示查杀完成，期间将占用绝大部分的CPU资源，但是被查杀的文件实际上并没有被成功删除，而是仍然残留在系统中，并且系统目录下的病毒无法进行控制。

入侵环境： 

1. 安装有MySQL 5.1.30以上的版本，包括最新的MySQL 5.5.x版本，目前还未修复 2. MySQL服务的端口设定在TCP 3306 3. 3306端口暴露在广域网下，或者暴露在含有病毒的局域网下，包括DMZ主机 4. MySQL的root账号密码属于可暴力破解范围之内 满足以上4个条件的MySQL服务均可能感染此后门，然而大部分测试使用的MySQL服务器都是满足以上4个条件的。

阻止入侵的临时解决方案： 

1. 转移MySQL的服务端口，将TCP 3306封闭； 2. 将TCP 3306端口设定防火墙规则，不允许暴露在本机网络之外，当然这将会导致remote access权限的无效化； 3. 更改root账户密码，使其密码复杂度超出暴力破解范围之外，比如不是任何一个英文单词，或者存在混合字符。

 

清除计算机内部残留的后门程序： 

1. 根据amd.dll释放路径，进入各释放目录进行手动删除，前提是一定要先阻止入侵。 2. 断掉网络或阻止入侵，使用后门专杀进行全盘扫描。

从目前分析来看，此后门非注入式后门程序，比较容易手动排除，但是这个后门确实让人有种想要格式化的冲动。。。