Новый червь распространяется по протоколу RDP
На этих выходных было замечено резкое повышение активности по порту 3389. Причиной этому стал новый червь - Worm:W32/Morto.B (F-Secure).
Специалисты по безопасности сообщают о появлении редкого на сегодняшний день явления – нового сетевого червя. Новый червь получил название Morto. Для распространения он использует протокол Windows RDP (Remote Desktop Protocol).
Протокол RDP используется для удаленного доступа к Windows системам. В настоящий момент известно, что червь использует брут-форс атаку и пытается подобрать пароль к учетной записи Administrator. После попадания на систему, он сканирует компьютеры в локальной сети и пытается подключиться к ним под учетной записью Administrator и паролями:
admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890
После проникновения на систему, Morto использует общедоступные папки \\tsclient\c и копирует себя на удаленную систему. Червь создает временный диск A и копирует на него файл a.dll. После этого, на системе создаются некоторые файлы, например \windows\system32\sens32.dll и \windows\offline web pages\cache.txt.
Червь имеет возможность удаленного управления, для этого используются домены jaifr.com и qfsl.net. Образцы червя, которые попали к специалистам компании F-Secure содержат следующие MD5 хеши:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d
В настоящий момент червь идентифицируется компанией F-Secure как Backdoor:W32/Morto.A и Worm:W32/Morto.B.
Тени в интернете всегда следят за вами