Preko storitve oddaljeno namizje se širi Morto

Finsko podjetje za računalniško varnost F-Secure (HEX: FSC), ki ga v Sloveniji zastopa podjetje Amis, sporoča, da se je ta vikend po internetu pričel širiti nov črv Morto. Za širjenje uporablja storitev Oddaljeno namizje (Remote Desktop) operacijskega sistema Windows.

Internetnih črvov, ki se širijo samostojno, je bilo zadnja leta relativno malo, večinoma dandanes zasledimo trojanske konje. Ta vikend pa se je pričel širiti nov črv, poimenovan Morto.

Morto napada postaje in strežnike, na katerih teče operacijski sistem Windows. Za širjenje uporablja nov način, ki ga doslej še nismo zasledili: RDP (Remote Desktop Protocol) oziroma storitev Oddaljeno namizje. Storitev Oddaljeno namizje omogoča, da se uporabnik poveže na oddaljeno postajo ali strežnik in na njem dela tako, kot bi bil prijavljen lokalno.

Črv Morto po okužbi pregleda lokalno omrežje in poizkuša najti druge računalnike, ki omogočajo povezave preko TCP vrat številka 3389. Nanje se poizkusi povezati z uporabniškim imenom Administrator in gesli: admin, password, server, test, user, pass, letmein, 1234qwer, 1q2w3e, 1qaz2wsx, aaa, abc123, abcd1234, admin123, 111, 123, 369, 1111, 12345, 111111, 123123, 123321, 123456, 654321, 666666, 888888, 1234567, 12345678, 123456789 in 1234567890.

Če mu povezava uspe, se skopira na računalnik preko datoteke a.dll. Na računalniku kreira nove datoteke, med drugim windowssystem32sens32.dll in windowsoffline web pagescache.txt . Omogoča tudi upravljanje okuženega računalnika na daljavo preko množice strežnikov, med njimi jaifr.com in qfsl.net .

Programi podjetja F-Secure črva zaznajo pod imeni Backdoor:W32/Morto.A in Worm:W32/Morto.B .

Uporabnikom, ki imajo vklopljeno storitev Oddaljeno namizje priporočamo, da za dostop uporabljajo dodatna uporabniška imena (torej ne Administrator), vsekakor pa naj uporabljajo skrbno izbrano geslo. Razmislijo naj tudi o omejitvi uporabe storitve na IP naslov, namesto vrat 3389 uporabljajo druga vrata, če potrebujejo dostop do računalnika v podjetju, pa naj razmislijo o uporabi kriptiranih VPN povezav.