WCM - Das österreichische Computer Magazin Forenübersicht
 

Zurück   WCM Forum > Rat & Tat > IT-Security
Seite neu laden Wurm verbreitet sich über Remote-Desktop-Funktion von Windows
Registrieren Hilfe/Forumregeln Benutzerliste Kalender Heutige Beiträge

IT-Security Rat & Tat bei Fragen und Problemen zu Computer-, Netzwerk- und Daten-Sicherheit

Microsoft KARRIERECAMPUS

 
 
Themen-Optionen Ansicht
Zurück Vorheriger Beitrag   Nächster Beitrag Nächste
Alt 29.08.2011, 22:50   #1
Christoph
Mod, bin gerne da
 
Benutzerbild von Christoph
 
Registriert seit: 09.11.1999
Ort: W, NÖ
Alter: 74
Beiträge: 13.646


Standard Wurm verbreitet sich über Remote-Desktop-Funktion von Windows
Zitat:
Der AV-Hersteller F-Secure warnt vor dem Schädling Morto, der sich über die Remote-Desktop-Server (RDP-Server) von Windows verbreitet. Der Wurm nutzt keine Sicherheitslücken in Windows aus. Er scannt IP-Adressbereiche nach dem RDP-Port 3389 und probiert bei den antwortenden Rechnern einen Login als Administrator mit einer Liste häufig genutzter Passwörter.

Der Wurm befällt vor allem Windows-Server, da hier RDP häufig zwecks Fernwartung aktiv und über das Internet erreichbar ist. Bei den Heimanwender-Versionen von Windows ist der RDP-Server nur in den höherpreisigen Versionen enthalten (bei 7 ab Professional) und muss zudem von Hand aktiviert werden. Außerdem ist der Port in diesem Fall nur von außen erreichbar, wenn im Router explizit ein Port-Forwarding eingerichtet wurde. Ist dies nicht der Fall, können die Zugriffe nur von anderen infizierten Rechnern im Heimnetz erfolgen.

Um sich dauerhaft im System einzunisten, legt der Wurm anschließend ein Laufwerk A:\ an, das über RDP wie eine Netzwerkfreigabe angesprochen werden kann. Auf der Freigabe platziert er schließlich die Datei a.dll, die sich um die weitere Infektion kümmert. Im weiteren Infektionsverlauf legt Morto unter anderem die Dateien \windows\system32\sens32.dll und \windows\offline web pages\cache.txt an.

Auf dem infizierten Rechner kümmert sich der Wurm um seine Verbreitung, wodurch unter anderem das Internet Storm Center einen massiven Anstieg des Traffics auf dem RDP-Port beobachten konnte. Zudem bringt der Schädling typische Bot-Funktionen mit. Er kontaktiert eine Reihe von Domains, um sich dort neue Befehle und Komponenten abzuholen. Eine detaillierte Analyse von Morto hat Microsoft veröffentlicht.

Erstmals aufgefallen ist der Wurm Mitte vergangener Woche. In Microsoft Technet-Foren häuften sich Berichte von vollständig gepatchten Systemen, die für ungewöhnlich hohen Traffic auf Port 3389 sorgten. Zu diesem Zeitpunkt wurde Morto noch von keinem Virenscanner erkannt.

Inzwischen wird Morto von den Scannern von Micosoft und F-Secure erkannt; die anderen großen AV-Hersteller dürften mitgezogen sein. Um zu verhindern, dass sich der Bot überhaupt erst am System anmeldet, sollte man via RDP erreichbare Rechner mit schwer zu erratenden Passwörtern schützen. (rei)
Quelle: http://www.heise.de/newsticker/meldu...s-1331752.html
____________________________________
Liebe Grüße
Christoph

Ein Kluger bemerkt alles, ein Dummer macht über alles seine Bemerkungen.
(Heinrich Heine)
Christoph ist offline   Mit Zitat antworten
 

« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu


Alle Zeitangaben in WEZ +2. Es ist jetzt 13:04 Uhr.

Kontakt - WCM - Nach oben

Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Forum SEO by Zoints
© 2009 FSL Verlag