Компании Microsoft и F-Secure (Финляндия) практически
одновременно зафиксировали новый вирус, получивший название «Morto».
Характерным признаком его появления в корпоративной сети служит
появление большого числа необъяснимых исходящих подключений к Интернету от
клиентских машин. Главным фактором распространения вируса специалисты по
безопасности называют слабые пароли сотрудников, использующиеся для входа в сеть.
По данным компании Microsoft, Morto наносит довольно
серьезный ущерб пострадавшим организациям. Хотя случаев его обнаружения пока зафиксировано относительно немного (по сравнению с
некоторыми другими вирусами), генерируемый им трафик очень заметен.
Главным каналом распространения для Morto служит
протокол RDP (Remote Desktop Protocol),
который используется для удаленного подключения к рабочему столу компьютера с
другого рабочего места. Это фирменный протокол Microsoft, встроенный во все версии операционной системы Windows, начиная
с XP. Обычно RDP-клиент требует ввести имя пользователя и
пароль для подключения к удаленному рабочему столу. Стойкость таких паролей и
становится решающим фактором для распространения вируса Morto.
По данным специалистов из финской компании F-secure,
после попадания на один компьютер вирус сканирует локальную сеть на
наличие компьютеров с включенным RDP-клиентом (в Windows XP он называется «Подключение к удаленному рабочему
столу»). Если такие обнаружены, Morto пробует
подключиться к ним, перебирая популярные имена и пароли из собственного фиксированного
списка. Как только один из паролей срабатывает, вирус загружает дополнительные
вредоносные компоненты из Интернета на сервер или ПК, к которому только что
подключился. Чтобы остаться незамеченным, он сразу же отключает антивирусные
программы, запущенные на пораженном компьютере.
Поиск потенциальных жертв (компьютеров с включенным RDP-клиентом) создает значительный
трафик по протоколу TCP на порту 3389 – этот порт используется для отслеживания
входящих запросов на удаленное подключение к рабочему столу. Впервые такой
трафик привлек внимание озадаченных администраторов на прошлой неделе.
Примерно каждые 10 минут возникает масса попыток подключения
с TCP-порта 3389 на различные IP-адреса, которые можно охарактеризовать, как
случайно сгенерированные. Большинство брандмауэров успешно блокируют такие
попытки, но они возникают снова и снова.
Анализ, проведенный специалистами Microsoft и F-Secure,
показал, что в список паролей входят такие легко подбираемые комбинации, как «password»,
«123456» и «abc123». Фактически, новый вирус лишний раз подчеркивает важность
выбора стойкого пароля. По мнению специалистов из Microsoft,
конечная цель червя может заключаться в проведении массовых атак на отказ в
обслуживании против выбранных хакерами сетей и сайтов.
Примечательно, что всего три недели назад компания Microsoft
выпустила специальные исправления к протоколу RDP, однако вирус Morto не использует никаких уязвимостей в протоколе – ни тех,
что были исправлены, ни каких-то новых – только слабые пароли.
По материалам сайтов Network
World и Softpedia.
|
