各种互联网安全公司的报告显示,一个新的互联网蠕虫病毒正在广泛传播,它利用了Windows系统上的弱口令,但它利用的传播方法很罕见。
首次报道是在上周日,Morto蠕虫或Win32/Morto似乎是一个老派的互联网蠕虫,在由木马和僵尸占新恶意代码样本大部分的近几年,它们已经很少见了。
根据多份报告,Morto感染Windows工作站和服务器,但是它是通过Windows远程桌面协议(Remote Desktop Protocol,RDP)传播的,RDP是Windows远程桌面链接服务的一部分,该服务允许远程的控制Windows PC机或服务器。
“一旦机器被感染,Morto蠕虫就开始扫描已启用远程桌面连接的本地网络,”F-Secure公司首席研究主任Mikko Hypponen在一篇博客中这样说道,“这为3389/TCP端口(即RDP端口)带来了很多流量。”
Hypponen表示,如果找到了一台这样的机器,该蠕虫会使用一系列常见的密码暴力破解尝试以管理员身份登录。成功登录后,该蠕虫将自身复制到新机,终止与本地安全应用相关的进程,并继续其传播尝试。Morto可以通过多台服务器,包括jaifr.com和qfsl.net被远程控制,Hypponen补充道。
微软周日在TechNet博客中证实了该蠕虫的存在,但目前尚不清楚哪些Windows版本可能被感染,且容易被用来进行成功的传播。
eEye数字安全公司的首席技术官Marc Maiffret在其公司的博客中写道,Morto蠕虫使他想起了“红色代码(CodeRed),地狱(Slammer),震荡波(Sasser),冲击波(Blaster)”以及其他病毒存在的那个时候。据Maiffret,企业可避免感染,通过直接禁止从互联网上访问RDP,使用强密码,以及改变注册表项从而让RDP使用非标准的网络端口。
“人们可能认为在2011年,这种基本的攻击不会带来多大的影响,”Maiffret写道,“但防病毒厂商和SANS似乎都看到了RDP网络流量的增长,而造成这一现象的罪魁祸首最有可能就是Morto蠕虫通过RDP Windows帐户暴力破解(brute-forcing)来感染系统。
在TechNet博客中,微软还建议使用强密码,应包括14个以上的字符,并含有各种不同的字母,标点符号,符号和数字。
【编辑推荐】