Specjaliści ds. bezpieczeństwa komputerowego ostrzegają przed nowym robakiem atakującym system Windows. Malware wykorzystuje hasła niskiej jakości. Robak został nazwany “Morto”, a odkryto go w zeszłym tygodniu w fińskiej firmie F-Secure – administratorzy zauważyli wiele połączeń z internetem o niewiadomym pochodzeniu.
“Mimo, że ogólna liczba komputerów raportujących wykrycie robaka jest niska w porównaniu z bardziej znanymi rodzinami złośliwych programów, można zauważyć ruch generowany przez Morto”, powiedział Hil Gradascevic, badacz z Microsoft Malware Protection Center (MMPC). Morto rozprzestrzenia się za pomocą RDP (Remote Desktop Protocol), protokołu kontroli połączeń między komputerami.
Robak rozprzestrzenia się dokonując logowania do serwerów Remote Desktop za pomocą słabych haseł, takich jak “abc123”. Wszystkie wersje systemu Windows, począwszy od XP, korzystają z RDP, które wymaga nazwy użytkownika i hasła do logowania do zdalnego systemu.
Komputer zainfekowany przez Morto skanuje sieć lokalną w poszukiwaniu kolejnych maszyn z RDP i próbuje się włamać wykorzystując popularne hasła. Gdy któreś z haseł zadziała, robak instaluje dodatkowe elementy malware na serwerze i niszczy jego oprogramowanie. Skanowanie w poszukiwaniu potencjalnych celów generuje znaczny ruch na porcie TCP 3389, co zwróciło uwagę administratorów sieci.
Jak wynika z opinii zawartej na blogu Microsoft, wykorzystujący hasła typu “123456” lub “xyz123” worm Morto może być narzędziem hakerów do walki z ich przeciwnikami. Został utworzony po to, by sparaliżować ruch ofiary przez atak DoS (denial of service).
Źródło: ComputerWorld