“老派”Morto蠕虫病毒通过RDP蔓延

安全 应用安全
各种互联网安全公司的报告显示,一个新的互联网蠕虫病毒正在广泛传播,它利用了Windows系统上的弱口令,并通过Windows远程桌面协议(Remote Desktop Protocol,RDP)传播。

各种互联网安全公司的报告显示,一个新的互联网蠕虫病毒正在广泛传播,它利用了Windows系统上的弱口令,但它利用的传播方法很罕见。

首次报道是在上周日,Morto蠕虫或Win32/Morto似乎是一个老派的互联网蠕虫,在由木马和僵尸占新恶意代码样本大部分的近几年,它们已经很少见了。

根据多份报告,Morto感染Windows工作站和服务器,但是它是通过Windows远程桌面协议(Remote Desktop Protocol,RDP)传播的,RDP是Windows远程桌面链接服务的一部分,该服务允许远程的控制Windows PC机或服务器。

“一旦机器被感染,Morto蠕虫就开始扫描已启用远程桌面连接的本地网络,”F-Secure公司首席研究主任Mikko Hypponen在一篇博客中这样说道,“这为3389/TCP端口(即RDP端口)带来了很多流量。”

Hypponen表示,如果找到了一台这样的机器,该蠕虫会使用一系列常见的密码暴力破解尝试以管理员身份登录。成功登录后,该蠕虫将自身复制到新机,终止与本地安全应用相关的进程,并继续其传播尝试。Morto可以通过多台服务器,包括jaifr.com和qfsl.net被远程控制,Hypponen补充道。

微软周日在TechNet博客中证实了该蠕虫的存在,但目前尚不清楚哪些Windows版本可能被感染,且容易被用来进行成功的传播。

eEye数字安全公司的首席技术官Marc Maiffret在其公司的博客中写道,Morto蠕虫使他想起了“红色代码(CodeRed),地狱(Slammer),震荡波(Sasser),冲击波(Blaster)”以及其他病毒存在的那个时候。据Maiffret,企业可避免感染,通过直接禁止从互联网上访问RDP,使用强密码,以及改变注册表项从而让RDP使用非标准的网络端口。

“人们可能认为在2011年,这种基本的攻击不会带来多大的影响,”Maiffret写道,“但防病毒厂商和SANS似乎都看到了RDP网络流量的增长,而造成这一现象的罪魁祸首最有可能就是Morto蠕虫通过RDP Windows帐户暴力破解(brute-forcing)来感染系统。

在TechNet博客中,微软还建议使用强密码,应包括14个以上的字符,并含有各种不同的字母,标点符号,符号和数字。

 

【编辑推荐】

  1. Blue Coat识别由网络广告驱动的虚假防病毒攻击
  2. linux下解决arp病毒攻击时上网问题的治标办法
  3. 手机病毒实测:智能手机真会中病毒?
  4. 病毒防御之漏洞和木马变种程序的安全警报
  5. 病毒防御:360杀毒“3D防御”效果实测
责任编辑:Writer 来源: tt网络
相关推荐

2011-08-09 10:51:05

2010-09-30 16:33:59

2014-05-14 13:13:59

2009-01-05 09:27:19

2012-11-08 10:49:47

CSRF漏洞漏洞鲜果网

2009-07-07 22:52:21

2010-10-12 16:14:37

蠕虫病毒计算机安全

2010-09-27 11:23:53

2011-06-17 10:47:03

2011-06-09 10:07:01

蠕虫SymbianOS病毒

2013-11-07 14:13:23

2013-05-13 11:51:29

2021-08-17 11:57:27

Golang加密蠕虫恶意软件

2019-02-12 15:39:52

2009-10-12 13:10:14

2017-05-17 06:05:02

2012-01-09 11:00:01

2010-09-10 14:14:55

群发邮件蠕虫病毒

2010-02-03 16:13:37

2011-06-24 11:10:25

点赞
收藏

51CTO技术栈公众号