Wirus na proste hasła

Od niedawna po sieci krąży internetowy robak o nazwie Morto, który próbuje zalogować się do komputerów z systemem Windows za pomocą usługi pulpitu zdalnego.

Najnowszy robak internetowy wybrał sobie za cel komputery z systemem Windows, które mają włączoną usługę zdalnego pulpitu. Nie byłoby w tym niczego nadzwyczajnego, gdyby nie fakt, że wirus ten nie wykorzystuje żadnego z błędów w implementacji usługi, a raczej korzysta z zestawu prostych haseł, licząc na niewiedzę administratorów.

Robak Morto korzysta z listy najgorszych możliwych haseł, do których należą między innymi:

*1234, 0, 111, 123, 369, 1111, 12345, 111111, 123123, 123321, 123456, 168168, 520520, 654321, 666666, 888888, 1234567, 12345678, 123456789, 1234567890, !@#$%^, %u%, %u%12, 1234qwer, 1q2w3e, 1qaz2wsx, aaa, abc123, abcd1234, admin, admin123, letmein, pass, password, server, test oraz user.

Mechanizm infekcji robaka nazwanego Morto polega na skanowaniu adresów IP w lokalnej podsieci (oraz Internecie) w poszukiwaniu otwartego portu odpowiedzialnego za komunikację za pomocą zdalnego pulpitu Windows (RDP). Po znalezieniu komputera, którego system ma włączony port 3389, robak próbuje zalogować się na konto z uprawnieniami administratora, korzystając z wbudowanej listy prostych haseł. Jeśli któreś z tych haseł zadziała, robak pobierze dodatkowe elementy złośliwego oprogramowania do właśnie przejętego serwera (lub stacji roboczej, ale to znacznie rzadziej), a następnie wyłączy oprogramowanie antywirusowe, by pozostać niewykrytym.

Powódź pakietów

Pierwsze zgłoszenia pochodzą od administratorów, którzy mają zapory sieciowe raportujące połączenia wychodzące na port 3389. Pojedynczy przejęty serwer wysyła pakiety co około 10 minut, zatem powtarzający się wzorzec został bardzo prędko wychwycony przez narzędzia korelujące zdarzenia.

Hil Gradascevic, badacz związany z prowadzonym przez Microsoft centrum ochrony przed złośliwym oprogramowaniem (Microsoft Malware Protection Center), napisał na blogu, że "chociaż zasięg infekcji wirusa jest nieduży w porównaniu do dobrze znanego złośliwego oprogramowania, ruch przez niego generowany jest zauważalny". Wirus ten nie wykorzystuje żadnego z błędów związanych z protokołem RDP, po prostu próbuje się zalogować.

Zdalny pulpit jest usługą systemową, która umożliwia połączenie z systemem Windows XP, Vista i 7 oraz z serwerowymi wydaniami Windows od wersji 2000 w górę. Usługa ta jest często wykorzystywana do pracy zdalnej, a także do zdalnego zarządzania systemami serwerowymi Windows. Protokół korzysta domyślnie z portu 3389.

Dobre hasła to podstawa

Wszystkie podręczniki i porady dotyczące bezpieczeństwa systemów informatycznych podkreślają rolę dobrze dobranych haseł. Nawet do najprostszych testów, na chwilę, należy unikać haseł, takich jak: password, 123456 czy abc123.


TOP 200