Morto - robak, który odgaduje hasła
- Antoni Steliński,
- 30.08.2011, godz. 13:46
W Internecie pojawił się nowy robak, który próbuje rozprzestrzeniać się poprzez... odgadywanie słabych haseł. Szkodnik zaktywizował się pod koniec ubiegłego tygodnia i od kilku dni zasypuje systemy zdalnego dostępu Windows próbami logowania.
Zobacz też:
Morto wykorzystuje do rozprzestrzeniania się stworzony przez Microsoft protokół Remote Desktop Connection (RDC), w obsługę którego wyposażone są m.in. Windows XP, Vista oraz Windows 7. Robak próbuje zdalnie zalogować się do maszyny, wykorzystując popularne nazwy użytkowników i hasła.
Zobacz również:
- Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
- Nearby Sharing od Google - wygodny sposób na przesyłanie plików
Jeśli się to uda, robak zaczyna przeszukiwać lokalną sieć w poszukiwaniu kolejnych komputerów i próbuje logować się do nich przez RDP. Po zainfekowaniu każdego systemu Morto pobiera i instaluje dodatkowe złośliwe oprogramowanie, którego zadaniem jest m.in. zablokowanie programów zabezpieczających.
Skanowanie w poszukiwaniu potencjalnych celów odbywa się na porcie TCP 3389 (standardowy port monitorowany przez RDP pod kątem zapytań dostępowych). I to właśnie gwałtowne zwiększenie ruchu na tym porcie zaalarmowało w weekend firmowych administratorów oraz specjalistów ds. bezpieczeństwa. "Średnio co 10 minut następuje prawdziwa lawina prób połączeń na TCP 3389, pochodzących z przypadkowych źródeł. Nasz firewall ma sporo pracy z ich blokowaniem" - napisał na forum pomocy technicznej Microsoftu użytkownik podpisujący się jako BarrySDCA.
Z analiz przeprowadzonych przez Microsoft i F-Secure wynika, że Morto wykorzystuje predefiniowaną listę kilkuset nieskomplikowanych, popularnych haseł - m.in. "password", "123456" czy "abc123." Warto zaznaczyć, że choć Microsoft załatał ostatnio lukę w RDP, to Morto nie wykorzystuje żadnego błędu w tym protokole - robak korzysta raczej z niefrasobliwości użytkowników, którzy nie używają odpowiednio silnych haseł.