Новый вирус размножается за счет паролей Windows
12-01-2012
По данным компании Microsoft, Morto наносит довольно серьезный ущерб пострадавшим организациям. Хотя случаев его обнаружения пока зафиксировано относительно немного (по сравнению с некоторыми другими вирусами), генерируемый им трафик очень заметен. Главным каналом распространения для Morto служит протокол RDP (Remote Desktop Protocol), который используется для удаленного подключения к рабочему столу компьютера с другого рабочего места.
Это фирменный протокол Microsoft, встроенный во все версии операционной системы Windows, начиная с XP. Обычно RDP-клиент требует ввести имя пользователя и пароль для подключения к удаленному рабочему столу. Стойкость таких паролей и становится решающим фактором для распространения вируса Morto.
По данным специалистов из финской компании F-secure, после попадания на один компьютер вирус сканирует локальную сеть на наличие компьютеров с включенным RDP-клиентом (в Windows XP он называется «Подключение к удаленному рабочему столу»). Если такие обнаружены, Morto пробует подключиться к ним, перебирая популярные имена и пароли из собственного фиксированного списка. Как только один из паролей срабатывает, вирус загружает дополнительные вредоносные компоненты из Интернета на сервер или ПК, к которому только что подключился. Чтобы остаться незамеченным, он сразу же отключает антивирусные программы, запущенные на пораженном компьютере.
Поиск потенциальных жертв (компьютеров с включенным RDP-клиентом) создает значительный трафик по протоколу TCP на порту 3389 – этот порт используется для отслеживания входящих запросов на удаленное подключение к рабочему столу. Впервые такой трафик привлек внимание озадаченных администраторов на прошлой неделе.
Примерно каждые 10 минут возникает масса попыток подключения с TCP-порта 3389 на различные IP-адреса, которые можно охарактеризовать, как случайно сгенерированные. Большинство брандмауэров успешно блокируют такие попытки, но они возникают снова и снова.
Анализ, проведенный специалистами Microsoft и F-Secure, показал, что в список паролей входят такие легко подбираемые комбинации, как «password», «123456» и «abc123». Фактически, новый вирус лишний раз подчеркивает важность выбора стойкого пароля. По мнению специалистов из Microsoft, конечная цель червя может заключаться в проведении массовых атак на отказ в обслуживании против выбранных хакерами сетей и сайтов.
Примечательно, что всего три недели назад компания Microsoft выпустила специальные исправления к протоколу RDP, однако вирус Morto не использует никаких уязвимостей в протоколе – ни тех, что были исправлены, ни каких-то новых – только слабые пароли.
По материалам сайтов Network World и Softpedia.
