Главное меню справа

Новый вирус размножается за счет паролей Windows

12-01-2012
Компании Microsoft и F-Secure (Финляндия) практически одновременно зафиксировали новый вирус, получивший название «Morto». Характерным признаком его появления в корпоративной сети служит появление большого числа необъяснимых исходящих подключений к Интернету от клиентских машин. Главным фактором распространения вируса специалисты по безопасности называют слабые пароли сотрудников, использующиеся для входа в сеть.

По данным компании Microsoft, Morto наносит довольно серьезный ущерб пострадавшим организациям. Хотя случаев его обнаружения пока зафиксировано относительно немного (по сравнению с некоторыми другими вирусами), генерируемый им трафик очень заметен. Главным каналом распространения для Morto служит протокол RDP (Remote Desktop Protocol), который используется для удаленного подключения к рабочему столу компьютера с другого рабочего места.

Это фирменный протокол Microsoft, встроенный во все версии операционной системы Windows, начиная с XP. Обычно RDP-клиент требует ввести имя пользователя и пароль для подключения к удаленному рабочему столу. Стойкость таких паролей и становится решающим фактором для распространения вируса Morto.

По данным специалистов из финской компании F-secure, после попадания на один компьютер вирус сканирует локальную сеть на наличие компьютеров с включенным RDP-клиентом (в Windows XP он называется «Подключение к удаленному рабочему столу»). Если такие обнаружены, Morto пробует подключиться к ним, перебирая популярные имена и пароли из собственного фиксированного списка. Как только один из паролей срабатывает, вирус загружает дополнительные вредоносные компоненты из Интернета на сервер или ПК, к которому только что подключился. Чтобы остаться незамеченным, он сразу же отключает антивирусные программы, запущенные на пораженном компьютере.

Поиск потенциальных жертв (компьютеров с включенным RDP-клиентом) создает значительный трафик по протоколу TCP на порту 3389 – этот порт используется для отслеживания входящих запросов на удаленное подключение к рабочему столу. Впервые такой трафик привлек внимание озадаченных администраторов на прошлой неделе.

Примерно каждые 10 минут возникает масса попыток подключения с TCP-порта 3389 на различные IP-адреса, которые можно охарактеризовать, как случайно сгенерированные. Большинство брандмауэров успешно блокируют такие попытки, но они возникают снова и снова.

Анализ, проведенный специалистами Microsoft и F-Secure, показал, что в список паролей входят такие легко подбираемые комбинации, как «password», «123456» и «abc123». Фактически, новый вирус лишний раз подчеркивает важность выбора стойкого пароля. По мнению специалистов из Microsoft, конечная цель червя может заключаться в проведении массовых атак на отказ в обслуживании против выбранных хакерами сетей и сайтов.

Примечательно, что всего три недели назад компания Microsoft выпустила специальные исправления к протоколу RDP, однако вирус Morto не использует никаких уязвимостей в протоколе – ни тех, что были исправлены, ни каких-то новых – только слабые пароли.

По материалам сайтов Network World и Softpedia.

Новости

все
25.07.2012
Главный инспектор аэрокосмического агентства США, НАСА, сообщил о расследовании скандального
24.07.2012
Анонсированы Leica M9 и X1: карманный FF и APS-C с фиксом Для тех, кто не желает таскать с
23.07.2012
Скоро беспроводная сеть позволит посмотреть сквозь стену? Видеть сквозь препятствия –

Дизайны

Разработали структуру сайта, создали сайт, соответствующий всем требованиям заказчика. Создали
Разработали структуру сайта, создали сайт по новым технологиям. Создали индивидуальный и
ООО Транспортная Компания «ТрансРусь» предлагает Вам свои услуги по приемке и