O wykryciu nowej złośliwej aplikacji infekującej Windows poinformowali m.in. przedstawiciele Microsoftu oraz fińskiej firmy F-Secure (producenta oprogramowania antywirusowego). To właśnie Microsoft jako pierwszy powiązał zwiększenie liczby prób logowania się do systemów remote access z aktywnością nowego szkodnika. "Liczba komputerów zainfekowanych przez robaka Morto jest na razie niewielka - szczególnie w porównaniu z innymi aktywnymi w ostatnim czasie złośliwymi programami. Ale ruch sieciowy generowany przez tą aplikację jest znaczący" - napisał w firmowym blogu Hil Gradascevic, specjalista z Microsoft Malware Protection Center (MMPC).

Morto wykorzystuje do rozprzestrzeniania się stworzony przez Microsoft protokół Remote Desktop Connection (RDC), w obsługę którego wyposażone są m.in. Windows XP, Vista oraz Windows 7. Robak próbuje zdalnie zalogować się do maszyny, wykorzystując popularne nazwy użytkowników i hasła.

Zobacz również:

• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
• Nearby Sharing od Google - wygodny sposób na przesyłanie plików

Jeśli się to uda, robak zaczyna przeszukiwać lokalną sieć w poszukiwaniu kolejnych komputerów i próbuje logować się do nich przez RDP. Po zainfekowaniu każdego systemu Morto pobiera i instaluje dodatkowe złośliwe oprogramowanie, którego zadaniem jest m.in. zablokowanie programów zabezpieczających.

Skanowanie w poszukiwaniu potencjalnych celów odbywa się na porcie TCP 3389 (standardowy port monitorowany przez RDP pod kątem zapytań dostępowych). I to właśnie gwałtowne zwiększenie ruchu na tym porcie zaalarmowało w weekend firmowych administratorów oraz specjalistów ds. bezpieczeństwa. "Średnio co 10 minut następuje prawdziwa lawina prób połączeń na TCP 3389, pochodzących z przypadkowych źródeł. Nasz firewall ma sporo pracy z ich blokowaniem" - napisał na forum pomocy technicznej Microsoftu użytkownik podpisujący się jako BarrySDCA.

Z analiz przeprowadzonych przez Microsoft i F-Secure wynika, że Morto wykorzystuje predefiniowaną listę kilkuset nieskomplikowanych, popularnych haseł - m.in. "password", "123456" czy "abc123." Warto zaznaczyć, że choć Microsoft załatał ostatnio lukę w RDP, to Morto nie wykorzystuje żadnego błędu w tym protokole - robak korzysta raczej z niefrasobliwości użytkowników, którzy nie używają odpowiednio silnych haseł.