o serwisie | redakcja | reklama | kontakt
szukaj w serwisie
Spis treści
  • Strona 1

Indeks działów

30 sierpnia 2011
Marcin Kaczmarek

Firma F-Secure ostrzega przed robakiem Morto, który rozprzestrzenia się, wykorzystując Windows Remote Desktop Server. Infekuje on głównie serwerowe wersje Windows, na których usługa RDP jest najczęściej włączona i dostępna przez internet w celu zdalnego zarządzania serwerem. Na systemach nieserwerowych usługa jest dostępna tylko w droższych wersjach produktów, a poza tym domyślnie wyłączona.

 

Nowo odkryty robak nie wykorzystuje żadnych luk w systemie, lecz skanuje całe zakresy adresów IP na porcie 3389, po czym próbuje się logować jako administrator z użyciem często stosowanych haseł. Po udanym logowaniu do zdalnego komputera, Morto tworzy napęd A:, który może być udostępniony jako udział w sieci lokalnej. Zapisuje na nim plik DLL, który rozpoczyna infekcję w sieci lokalnej, a także inne pliki w katalogach systemowych. Na kolejno infekowanych komputerach robak powtarza wszystkie czynności i jest gotowy do dalszego rozprzestrzeniania się. Dodatkowo Morto jest przystosowany do pracy jako botnet, zawiera nazwy domen (jaifr.com, qfsl.net) z których może pobierać nowe komendy i komponenty. Szczegółowa analiza Morto znajduje się m.in. na stronie Microsoftu.

Oczywiście w tym przypadku podstawowym rozwiązaniem jest ustawienie takiego hasła administratora, którego nie da się łatwo odgadnąć.



Źródło: The H

Przeczytaj również...

Zaloguj się, by dodać komentarz. Nie masz konta? Zarejestruj się.

Login
Hasło
Zarejestruj się
Zapomniałem hasła
  Ostatnio komentowane
  Ostatnio na forum
więcej »
strona główna | o serwisie | redakcja | reklama | kontakt