Эксперты по компьютерным вирусам
сообщают о
появлении в сети Интернет новой вредоносной программы типа сетевой
червь. Новый
червь, использующий для своего распространения протокол удаленного
рабочего
стола RDP(Remote
Desktop Protocol), носит имя Morto.
Протокол RDP используется в Windows-системах для удаленного доступа
к рабочему столу. На
текущий момент о поведении червя известно следующее:
Червь использует bruteforceатаку
с целью подбора пароля к учетной записи Administrator. Проникая на
компьютер, червь
сканирует локальную сеть и пытается подключиться к обнаруженным
компьютерам под
учетной записью Administrator и следующими паролями:
admin password server test user pass letmein 1234qwer 1q2w3e 1qaz2wsx aaa abc123 abcd1234 admin123 111 123 369 1111 12345 111111 123123 123321 123456 654321 666666 888888 1234567 12345678 123456789 1234567890
Также Morto использует общедоступные
каталоги \\tsclient\c,
копируя себя на удаленную систему. Червь создает временный диск A и
копирует на
него файл a.dll. После этого, на системе создаются различные файлы,
такие как
\windows\system32\sens32.dll и \windows\offline web pages\cache.txt.
Проведенные тесты показали, что перед
червем Mortoуязвимы
как
серверы, так и рабочие станции, работающие под управлением Windows.Таким образом, безопасность протокола RDP снова под угрозой.
В большинстве случае в качестве
удаленного сервера
управления червь Morto использует серверы, находящиеся в доменах
jaifr.com и
qfsl.net.
В настоящий момент червь
идентифицируется как Backdoor:W32/Morto.A
и
Worm:W32/Morto.B.
Ознакомившись с обзором Windows 8 Вы узнаете, как обстоять дела с безопасностью RDP в этой операционной системе.