Wirus na proste hasła
- 20.09.2011
Od niedawna po sieci krąży internetowy robak o nazwie Morto, który próbuje zalogować się do komputerów z systemem Windows za pomocą usługi pulpitu zdalnego.
Najnowszy robak internetowy wybrał sobie za cel komputery z systemem Windows, które mają włączoną usługę zdalnego pulpitu. Nie byłoby w tym niczego nadzwyczajnego, gdyby nie fakt, że wirus ten nie wykorzystuje żadnego z błędów w implementacji usługi, a raczej korzysta z zestawu prostych haseł, licząc na niewiedzę administratorów.
Robak Morto korzysta z listy najgorszych możliwych haseł, do których należą między innymi:
*1234, 0, 111, 123, 369, 1111, 12345, 111111, 123123, 123321, 123456, 168168, 520520, 654321, 666666, 888888, 1234567, 12345678, 123456789, 1234567890, !@#$%^, %u%, %u%12, 1234qwer, 1q2w3e, 1qaz2wsx, aaa, abc123, abcd1234, admin, admin123, letmein, pass, password, server, test oraz user.
Powódź pakietów
Pierwsze zgłoszenia pochodzą od administratorów, którzy mają zapory sieciowe raportujące połączenia wychodzące na port 3389. Pojedynczy przejęty serwer wysyła pakiety co około 10 minut, zatem powtarzający się wzorzec został bardzo prędko wychwycony przez narzędzia korelujące zdarzenia.
Hil Gradascevic, badacz związany z prowadzonym przez Microsoft centrum ochrony przed złośliwym oprogramowaniem (Microsoft Malware Protection Center), napisał na blogu, że "chociaż zasięg infekcji wirusa jest nieduży w porównaniu do dobrze znanego złośliwego oprogramowania, ruch przez niego generowany jest zauważalny". Wirus ten nie wykorzystuje żadnego z błędów związanych z protokołem RDP, po prostu próbuje się zalogować.
Zdalny pulpit jest usługą systemową, która umożliwia połączenie z systemem Windows XP, Vista i 7 oraz z serwerowymi wydaniami Windows od wersji 2000 w górę. Usługa ta jest często wykorzystywana do pracy zdalnej, a także do zdalnego zarządzania systemami serwerowymi Windows. Protokół korzysta domyślnie z portu 3389.
Dobre hasła to podstawa
Wszystkie podręczniki i porady dotyczące bezpieczeństwa systemów informatycznych podkreślają rolę dobrze dobranych haseł. Nawet do najprostszych testów, na chwilę, należy unikać haseł, takich jak: password, 123456 czy abc123.