F-Secure und Microsoft warnen vor dem Wurm Morto, der sich zur Zeit über RDP (Remote Desktop Protocol) von Windows verbreitet. Allerdings nutzt er dafür keine Sicherheitslücke. Der Wurm testet automatisch zahlreiche Benutzer-Passwort-Kombinationen und erhält darüber bei der Verwendung schwacher Passwörter Zugriff auf das System.
Für die Weiterverbreitung scannt der Wurm zunächst, ob er Rechner findet, die Port 3389 TCP verwenden. Das ist der Standard Microsofts RDP-Port . Wenn ein solcher Dienst gefunden wurde, startet der automatisierte Passwort-Angriff.Sobald der Zugriff zu einem System möglich ist, werden weitere Schadprogramme nachgeladen, die sich im System einnisten. Von dort aus startet der Wurm anschließend dann erneut seine Weiterverbreitung
Worm:Win32/Morto.AEncyclopedia entry
Updated: Sep 01, 2011 | Published: Aug 28, 2011
Aliases:
- Trojan horse Generic24.OJQ (AVG)
- Trojan.DownLoader4.48720 (Dr.Web)
- Win-Trojan/Helpagent.7184 (AhnLab)
- Troj/Agent-TEE (Sophos)
- Backdoor:Win32/Morto.A (Microsoft)
Sie sollten für Ihre RDP-Sitzungen unbedingt sichere Passwörter verwenden. Der Wurm versucht beispielsweise explizit, über typische Test-Benutzerkonten Zugriff zu erlangen, z.B. Administrator usw.
Wenn in eurem Netzwerk erhöhte Aktivitäten auf Port 3389 auftaucht, sucht am besten den Quell-PC und nehmt den entsprechenden Rechner erstmal vom Netz. Mit einem aktuellen Antiviren-Programm, wie Norton, Kaspersky F-Secure und Microsoft soll sich das System wieder bereinigen lassen.
