14:13 Morto: проникновение через "удалённый рабочий стол" | |
Эксперты из компании F-Secure сообщили об обнаружении нового сетевого червя, получившего название Morto. В последнее время, в сети активность червей не очень вилика и в основной своей массе, эксперты чаще обнаруживают различные боты и троянские программы. Но недавно, эксперты F-Secure нашли нового интернет-червя, активно распространяющегося во всемирной Сети. Как мы уже сказали, червь называется Morto и ориентирован на заражение Windows, как рабочих станций, так и серверов. Новый вредонос использует необычный вектор распространения, чего ранее эксперты не видели, а именно RDP . RDP означает протокола удаленного рабочего стола . ОС Windows имеет встроенную поддержку этого протокола с помощью которого можно выполнить подключение к удалённому рабочему столу другого компьютера. В случае инфицирования ПК новым червём, Morto начинает сканирование локальной сети, с целью выявления рабочих станций, с активированной функцией RDP. Это создает большой трафик для порта 3389/TCP , который является портом RDP. Когда Morto находит сервер удаленного рабочего стола, он пытается войти в систему как администратор. Вы подключены к удаленной системе, вы можете получить доступ дисков этого сервера с помощью акций, как для \\tsclient\c и \\tsclient\d for drives C: and D:, соответственно. Morto использует эту возможность скопировать себя на целевой машине. Она делает это путем создания временных диск под буквой: и копирование файла с именем a.dll. где червём будет создано несколько новых файлов в системе, в том числе \ Windows \ system32 \ sens32.dll и \windows\offline web pages\cache.txt Помимо всего прочего, Morto можно управлять дистанционно. Это делается с помощью нескольких альтернативных серверов, в том числе jaifr.com и qfsl.net. "Мы видели несколько различных образцов. Некоторые MD5 хэши обсуждение темы на форумах Technet и включают в себя: 0c5728b3c22276719561049653c71b84 14284844b9a5aaa680f6be466d71d95b 58fcbc7c8a5fc89f21393eb4c771131d Тамже мы обнаружить Morto компонентов Backdoor: W32/Morto.A и Worm: W32/Morto.B"- заявили эксперты. | |
|
Всего комментариев: 0 | |