Новый червь распространяется по протоколу RDP

image

Теги: червь, F-Secure, вирус

На этих выходных было замечено резкое повышение активности по порту 3389. Причиной этому стал новый червь - Worm:W32/Morto.B (F-Secure).

Специалисты по безопасности сообщают о появлении редкого на сегодняшний день явления – нового сетевого червя. Новый червь получил название Morto. Для распространения он использует протокол Windows RDP (Remote Desktop Protocol).

Протокол RDP используется для удаленного доступа к Windows системам. В настоящий момент известно, что червь использует брут-форс атаку и пытается подобрать пароль к учетной записи Administrator. После попадания на систему, он сканирует компьютеры в локальной сети и пытается подключиться к ним под учетной записью Administrator и паролями:

admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890

После проникновения на систему, Morto использует общедоступные папки \\tsclient\c и копирует себя на удаленную систему. Червь создает временный диск A и копирует на него файл a.dll. После этого, на системе создаются некоторые файлы, например \windows\system32\sens32.dll и \windows\offline web pages\cache.txt.

Червь имеет возможность удаленного управления, для этого используются домены jaifr.com и qfsl.net. Образцы червя, которые попали к специалистам компании F-Secure содержат следующие MD5 хеши:

0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d

В настоящий момент червь идентифицируется компанией F-Secure как Backdoor:W32/Morto.A и Worm:W32/Morto.B.


или введите имя

CAPTCHA
Страницы: 1  2  
NSS
29-08-2011 11:00:12
Красава)
0 |
Ну
29-08-2011 16:18:21
Хе-хе, в очередном билде ждите обновлённый словарь. (ОНИ же мониторят и эту новость) Подкину-ка и я свои супир-пароли: 11112222 33334444 88888888
0 |
38724
29-08-2011 17:43:53
qwerty же
0 |
Алексей
30-08-2011 00:06:59
Хороший повод "подрокать" подопечных юзьверей за слабые пароли Да и файрвол на шлюзе "подкрутить" заодно.
0 |
alex
30-08-2011 06:54:22
чем "дрокать", лучше понизь их привилегии в системе с локальных администраторов до пользователей.
0 |
Бобер
31-08-2011 12:44:37
Включить политику сложных паролей и на этом все брутфорсы идут лесом...
0 |
gso
30-08-2011 09:42:52
http://www.symantec.com/security_response/writeup.jsp?docid=2011-082908-4116-99&tabid=2
0 |
Ldima
30-08-2011 11:54:33
letmein - как то не из этой оперы.
0 |
Страницы: 1  2