• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Новый сетевой червь распространяется через протокол Windows RDP

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,706
#1
Специалисты по антивирусной безопасности отмечают появление довольно редкого образца среди вредоносных кодов. Новый интернет-червь Morto использует для распространения протокол Windows RDP (Remote Desktop Protocol). Антивирусная компания F-Secure сообщает, что червь для своего распространения использует трафик на порту 3389/TCP.

Согласно данным анализа F-Secure, после того, как червь вошел в сеть, он начинает искать машины, на которых открыт порт 3389 и запущена служба RDP. Уязвимые машины, которые удалось обнаружить Morto, червь использует для проникновения и размещения на их жестких дисках как dll-файл. После размещения на машине жертве, червь начинает создавать на ней прочие вредоносные файлы, передает cybersecurity.

В американской исследовательской сети SANS говорят, что на протяжении минувших выходных они зафиксировали резкий рост объемов RDP-трафика и именно этот индикатор побудил их проверить системы на наличие вредоносных кодов. По итогам проверки выяснилось, что перед данным червем уязвимы как серверы, так и рабочие станции под управлением Windows.

В сообщении F-Secure также говорится, что в большинстве случае в качестве удаленного контроллера червя Morto используются серверы в доменах jaifr.com и qfsl.net.

Источник
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,434
Симпатии
8,706
#4
Новый вирус размножается за счет паролей Windows

И в догонку:

Компании Microsoft и F-Secure (Финляндия) практически одновременно зафиксировали новый вирус, получивший название «Morto». Характерным признаком его появления в корпоративной сети служит появление большого числа необъяснимых исходящих подключений к Интернету от клиентских машин. Главным фактором распространения вируса специалисты по безопасности называют слабые пароли сотрудников, использующиеся для входа в сеть.



По данным компании Microsoft, Morto наносит довольно серьезный ущерб пострадавшим организациям. Хотя случаев его обнаружения пока зафиксировано относительно немного (по сравнению с некоторыми другими вирусами), генерируемый им трафик очень заметен. Главным каналом распространения для Morto служит протокол RDP (Remote Desktop Protocol), который используется для удаленного подключения к рабочему столу компьютера с другого рабочего места. Это фирменный протокол Microsoft, встроенный во все версии операционной системы Windows, начиная с XP. Обычно RDP-клиент требует ввести имя пользователя и пароль для подключения к удаленному рабочему столу. Стойкость таких паролей и становится решающим фактором для распространения вируса Morto.

По данным специалистов из финской компании F-secure, после попадания на один компьютер вирус сканирует локальную сеть на наличие компьютеров с включенным RDP-клиентом (в Windows XP он называется «Подключение к удаленному рабочему столу»). Если такие обнаружены, Morto пробует подключиться к ним, перебирая популярные имена и пароли из собственного фиксированного списка. Как только один из паролей срабатывает, вирус загружает дополнительные вредоносные компоненты из Интернета на сервер или ПК, к которому только что подключился. Чтобы остаться незамеченным, он сразу же отключает антивирусные программы, запущенные на пораженном компьютере.

Поиск потенциальных жертв (компьютеров с включенным RDP-клиентом) создает значительный трафик по протоколу TCP на порту 3389 – этот порт используется для отслеживания входящих запросов на удаленное подключение к рабочему столу. Впервые такой трафик привлек внимание озадаченных администраторов на прошлой неделе.

Примерно каждые 10 минут возникает масса попыток подключения с TCP-порта 3389 на различные IP-адреса, которые можно охарактеризовать, как случайно сгенерированные. Большинство брандмауэров успешно блокируют такие попытки, но они возникают снова и снова.

Анализ, проведенный специалистами Microsoft и F-Secure, показал, что в список паролей входят такие легко подбираемые комбинации, как «password», «123456» и «abc123». Фактически, новый вирус лишний раз подчеркивает важность выбора стойкого пароля. По мнению специалистов из Microsoft, конечная цель червя может заключаться в проведении массовых атак на отказ в обслуживании против выбранных хакерами сетей и сайтов.

Примечательно, что всего три недели назад компания Microsoft выпустила специальные исправления к протоколу RDP, однако вирус Morto не использует никаких уязвимостей в протоколе – ни тех, что были исправлены, ни каких-то новых – только слабые пароли.

Источник