Новый червь Morto распространяется через протокол RDP
Эксперты предупреждают о новом сетевом черве, который пытается распространяться по протоколу RDP, используя brute force.
🕛 31.08.2011, 07:53
После заражения компьютера новый червь, названный Morto, начинает сканирование сети в поисках компьютеров, принимающих соединения на порт 3389/TCP, который по умолчанию является портом RDP. Когда потенциальные компьютеры-жертвы установлены, червь пытается войти в их систему с правами администратора, используя список жёстко запрограммированных паролей. Это может вызвать скачок в RDP-траффике. Если червю удаётся войти в систему, Morto загружает свои компоненты, включая файлы "%windows%\temp\ntshrui.dll" и "%windows%\offline web pages\cache.txt", на компьютеры-жертвы. Затем червь докладывает о проделанной работе на командный сервер, используя список доменных имён и IP-адресов, с которых он в дальнейшем может загрузить остальные файлы.Основной функцией Morto является запуск DDoS-атак. Он также убивает процессы, имена которых соответствуют популярным приложениям для защиты компьютера.
На данный момент 19 из 44 антивирусных движков, используемых сервисом, могут обнаружить эту угрозу. Пользователям рекомендуется отключить RDP на компьютерах, где он не используется, и установить надёжный пароль для учётной записи администратора.