Nový červ šikovně využívá slabých hesel ve Windows

30. 8. 2011

Sdílet

Malware Morto podle výzkumníků společnosti stojí za významným a hlavně nevysvětlitelným zvýšením síťového provozu některých počítačů, když pro své šíření využívá RDP (Remote Desktop Protocol), což je protokol Microsoftu pro řízení jednoho počítače prostřednictvím komunikace z jiného. Cílem červa by prý mohlo být vyvolání stavu odepření služby (DoS, denial-of-service).

Všechny verze Windows od varianty XP zahrnují klientský software, jenž využívá RDP pro vzdálený přístup k zařízení. Tento program -- Remote Desktop Connection (RDC) -- však vyžaduje pro přihlášení ke vzdálenému systému zadání uživatelského jména a hesla.

PC, jež jsou kompromitována pomocí Morta, skenují lokální síť a vyhledávají další počítače, jež mají spuštěny RDC a po jejich nalezení se pokoušejí přihlásit k Remote Desktop serveru prostřednictvím přednastavené sady hesel.  Popkud některé z těchto hesel funguje, červ na příslušný stroj nahraje další malwarové komponenty a vypne bezpečnostní software, aby tak zůstal utajen.

Skenování potenciálních obětí však generuje poměrně významný síťový provoz na TCP portu 3389, tedy tom, jenž Remote Desktop server využívá pro monitorování příchozích požadavků na přístup.

Jeden ze zasažených uživatelů uvádí, že zhruba každých deset minut se objevila doslova záplava  pokusů o propojení na portu TCP 3389. Naštěstí je náš firewall zachytil a zablokoval.

ICTS24

Podle analýz, jež učinili pracovníci Microsoftu a F-Secure, je už znám seznam hesel, jež červ využívá při pokusech o napojení na vzdálené PC. Tato hesla zahrnují například tak jednoduché varianty, jako "password," "123456" nebo "abc123."

Jako obrana v tomto případě slouží nastavení silných hesel – červ totiž žádnou zranitelnost uvedeného protokolu či služby nevyužívá.