Ай Ком Сервис Morto: проникновение через "удалённый рабочий стол" - 29 Августа 2011 - Ай Ком Сервис
Главная » 2011 » Август » 29 » Morto: проникновение через "удалённый рабочий стол"
14:13
Morto: проникновение через "удалённый рабочий стол"
Эксперты из компании F-Secure сообщили об обнаружении нового сетевого червя, получившего название Morto. В последнее время, в сети активность червей не очень вилика и в основной своей массе, эксперты чаще обнаруживают различные боты и троянские программы. Но недавно, эксперты F-Secure нашли нового интернет-червя, активно распространяющегося во всемирной Сети. Как мы уже сказали, червь называется Morto и ориентирован на заражение Windows, как рабочих станций, так и серверов. Новый вредонос использует необычный вектор распространения, чего ранее эксперты не видели, а именно RDP . RDP означает протокола удаленного рабочего стола . ОС Windows имеет встроенную поддержку этого протокола с помощью которого можно выполнить подключение к удалённому рабочему столу другого компьютера. В случае инфицирования ПК новым червём,  Morto начинает сканирование локальной сети, с целью выявления рабочих станций, с активированной функцией RDP. Это создает большой трафик для порта 3389/TCP , который является портом RDP. Когда Morto находит сервер удаленного рабочего стола, он пытается войти в систему как администратор. Вы подключены к удаленной системе, вы можете получить доступ дисков этого сервера с помощью акций, как для \\tsclient\c  и \\tsclient\d for drives C: and D:, соответственно. Morto использует эту возможность скопировать себя на целевой машине. Она делает это путем создания временных диск под буквой: и копирование файла с именем a.dll. где червём будет создано несколько новых файлов в системе, в том числе \ Windows \ system32 \ sens32.dll  и \windows\offline web pages\cache.txt Помимо всего прочего, Morto можно управлять дистанционно. Это делается с помощью нескольких альтернативных серверов, в том числе jaifr.com и qfsl.net. "Мы видели несколько различных образцов. Некоторые MD5 хэши обсуждение темы на форумах Technet и включают в себя:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d
Тамже мы обнаружить Morto компонентов Backdoor: W32/Morto.A и Worm: W32/Morto.B"- заявили эксперты.










Категория: Интернет угрозы | Просмотров: 741 | Добавил: Administrator | Теги: W32/Morto.B, backdoor, удалённый рабочий стол, сетевой червь, угрозы, Morto, worm, W32/Morto.A | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]