Новый сетевой червь распространяется через протокол Windows RDP

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 29 авг 2011.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Специалисты по антивирусной безопасности отмечают появление довольно редкого образца среди вредоносных кодов. Новый интернет-червь Morto использует для распространения протокол Windows RDP (Remote Desktop Protocol). Антивирусная компания F-Secure сообщает, что червь для своего распространения использует трафик на порту 3389/TCP.

    Согласно данным анализа F-Secure, после того, как червь вошел в сеть, он начинает искать машины, на которых открыт порт 3389 и запущена служба RDP. Уязвимые машины, которые удалось обнаружить Morto, червь использует для проникновения и размещения на их жестких дисках как dll-файл. После размещения на машине жертве, червь начинает создавать на ней прочие вредоносные файлы, передает cybersecurity.

    В американской исследовательской сети SANS говорят, что на протяжении минувших выходных они зафиксировали резкий рост объемов RDP-трафика и именно этот индикатор побудил их проверить системы на наличие вредоносных кодов. По итогам проверки выяснилось, что перед данным червем уязвимы как серверы, так и рабочие станции под управлением Windows.

    В сообщении F-Secure также говорится, что в большинстве случае в качестве удаленного контроллера червя Morto используются серверы в доменах jaifr.com и qfsl.net.

    Источник
     
    4 пользователям это понравилось.
  2. Д.К.
    Оффлайн

    Д.К. Активный пользователь

    Сообщения:
    11
    Симпатии:
    3
    А как от червя то защититься?
     
    1 человеку нравится это.
  3. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Думаю отключением службы терминалов и/или файрволлом
     
    2 пользователям это понравилось.
  4. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Новый вирус размножается за счет паролей Windows

    И в догонку:

    Компании Microsoft и F-Secure (Финляндия) практически одновременно зафиксировали новый вирус, получивший название «Morto». Характерным признаком его появления в корпоративной сети служит появление большого числа необъяснимых исходящих подключений к Интернету от клиентских машин. Главным фактором распространения вируса специалисты по безопасности называют слабые пароли сотрудников, использующиеся для входа в сеть.

    [​IMG]

    По данным компании Microsoft, Morto наносит довольно серьезный ущерб пострадавшим организациям. Хотя случаев его обнаружения пока зафиксировано относительно немного (по сравнению с некоторыми другими вирусами), генерируемый им трафик очень заметен. Главным каналом распространения для Morto служит протокол RDP (Remote Desktop Protocol), который используется для удаленного подключения к рабочему столу компьютера с другого рабочего места. Это фирменный протокол Microsoft, встроенный во все версии операционной системы Windows, начиная с XP. Обычно RDP-клиент требует ввести имя пользователя и пароль для подключения к удаленному рабочему столу. Стойкость таких паролей и становится решающим фактором для распространения вируса Morto.

    По данным специалистов из финской компании F-secure, после попадания на один компьютер вирус сканирует локальную сеть на наличие компьютеров с включенным RDP-клиентом (в Windows XP он называется «Подключение к удаленному рабочему столу»). Если такие обнаружены, Morto пробует подключиться к ним, перебирая популярные имена и пароли из собственного фиксированного списка. Как только один из паролей срабатывает, вирус загружает дополнительные вредоносные компоненты из Интернета на сервер или ПК, к которому только что подключился. Чтобы остаться незамеченным, он сразу же отключает антивирусные программы, запущенные на пораженном компьютере.

    Поиск потенциальных жертв (компьютеров с включенным RDP-клиентом) создает значительный трафик по протоколу TCP на порту 3389 – этот порт используется для отслеживания входящих запросов на удаленное подключение к рабочему столу. Впервые такой трафик привлек внимание озадаченных администраторов на прошлой неделе.

    Примерно каждые 10 минут возникает масса попыток подключения с TCP-порта 3389 на различные IP-адреса, которые можно охарактеризовать, как случайно сгенерированные. Большинство брандмауэров успешно блокируют такие попытки, но они возникают снова и снова.

    Анализ, проведенный специалистами Microsoft и F-Secure, показал, что в список паролей входят такие легко подбираемые комбинации, как «password», «123456» и «abc123». Фактически, новый вирус лишний раз подчеркивает важность выбора стойкого пароля. По мнению специалистов из Microsoft, конечная цель червя может заключаться в проведении массовых атак на отказ в обслуживании против выбранных хакерами сетей и сайтов.

    Примечательно, что всего три недели назад компания Microsoft выпустила специальные исправления к протоколу RDP, однако вирус Morto не использует никаких уязвимостей в протоколе – ни тех, что были исправлены, ни каких-то новых – только слабые пароли.

    Источник
     
    6 пользователям это понравилось.
  5. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    7.841
    Симпатии:
    8.599
    Анализ и лечение Worm:Win32/Morto.A

    И в окончание:

    Приветствую. Как и обещал, подробный анализ Worm:Win32/Morto.A.

    Читать далее...
     
    3 пользователям это понравилось.

Поделиться этой страницей