“老派”Morto蠕蟲病毒通過RDP蔓延
各種互聯(lián)網(wǎng)安全公司的報告顯示,一個新的互聯(lián)網(wǎng)蠕蟲病毒正在廣泛傳播,它利用了Windows系統(tǒng)上的弱口令,但它利用的傳播方法很罕見。
首次報道是在上周日,Morto蠕蟲或Win32/Morto似乎是一個老派的互聯(lián)網(wǎng)蠕蟲,在由木馬和僵尸占新惡意代碼樣本大部分的近幾年,它們已經(jīng)很少見了。
根據(jù)多份報告,Morto感染W(wǎng)indows工作站和服務(wù)器,但是它是通過Windows遠(yuǎn)程桌面協(xié)議(Remote Desktop Protocol,RDP)傳播的,RDP是Windows遠(yuǎn)程桌面鏈接服務(wù)的一部分,該服務(wù)允許遠(yuǎn)程的控制Windows PC機(jī)或服務(wù)器。
“一旦機(jī)器被感染,Morto蠕蟲就開始掃描已啟用遠(yuǎn)程桌面連接的本地網(wǎng)絡(luò),”F-Secure公司首席研究主任Mikko Hypponen在一篇博客中這樣說道,“這為3389/TCP端口(即RDP端口)帶來了很多流量。”
Hypponen表示,如果找到了一臺這樣的機(jī)器,該蠕蟲會使用一系列常見的密碼暴力破解嘗試以管理員身份登錄。成功登錄后,該蠕蟲將自身復(fù)制到新機(jī),終止與本地安全應(yīng)用相關(guān)的進(jìn)程,并繼續(xù)其傳播嘗試。Morto可以通過多臺服務(wù)器,包括jaifr.com和qfsl.net被遠(yuǎn)程控制,Hypponen補(bǔ)充道。
微軟周日在TechNet博客中證實(shí)了該蠕蟲的存在,但目前尚不清楚哪些Windows版本可能被感染,且容易被用來進(jìn)行成功的傳播。
eEye數(shù)字安全公司的首席技術(shù)官M(fèi)arc Maiffret在其公司的博客中寫道,Morto蠕蟲使他想起了“紅色代碼(CodeRed),地獄(Slammer),震蕩波(Sasser),沖擊波(Blaster)”以及其他病毒存在的那個時候。據(jù)Maiffret,企業(yè)可避免感染,通過直接禁止從互聯(lián)網(wǎng)上訪問RDP,使用強(qiáng)密碼,以及改變注冊表項(xiàng)從而讓RDP使用非標(biāo)準(zhǔn)的網(wǎng)絡(luò)端口。
“人們可能認(rèn)為在2011年,這種基本的攻擊不會帶來多大的影響,”Maiffret寫道,“但防病毒廠商和SANS似乎都看到了RDP網(wǎng)絡(luò)流量的增長,而造成這一現(xiàn)象的罪魁禍?zhǔn)鬃钣锌赡芫褪荕orto蠕蟲通過RDP Windows帳戶暴力破解(brute-forcing)來感染系統(tǒng)。
在TechNet博客中,微軟還建議使用強(qiáng)密碼,應(yīng)包括14個以上的字符,并含有各種不同的字母,標(biāo)點(diǎn)符號,符號和數(shù)字。
【編輯推薦】
