Wurm verbreitet sich über Remote-Desktop-Funktion von Windows

Christoph · 29.08.2011, 22:50

Zitat:

Der AV-Hersteller F-Secure warnt vor dem Schädling Morto, der sich über die Remote-Desktop-Server (RDP-Server) von Windows verbreitet. Der Wurm nutzt keine Sicherheitslücken in Windows aus. Er scannt IP-Adressbereiche nach dem RDP-Port 3389 und probiert bei den antwortenden Rechnern einen Login als Administrator mit einer Liste häufig genutzter Passwörter.

Der Wurm befällt vor allem Windows-Server, da hier RDP häufig zwecks Fernwartung aktiv und über das Internet erreichbar ist. Bei den Heimanwender-Versionen von Windows ist der RDP-Server nur in den höherpreisigen Versionen enthalten (bei 7 ab Professional) und muss zudem von Hand aktiviert werden. Außerdem ist der Port in diesem Fall nur von außen erreichbar, wenn im Router explizit ein Port-Forwarding eingerichtet wurde. Ist dies nicht der Fall, können die Zugriffe nur von anderen infizierten Rechnern im Heimnetz erfolgen.

Um sich dauerhaft im System einzunisten, legt der Wurm anschließend ein Laufwerk A:\ an, das über RDP wie eine Netzwerkfreigabe angesprochen werden kann. Auf der Freigabe platziert er schließlich die Datei a.dll, die sich um die weitere Infektion kümmert. Im weiteren Infektionsverlauf legt Morto unter anderem die Dateien \windows\system32\sens32.dll und \windows\offline web pages\cache.txt an.

Auf dem infizierten Rechner kümmert sich der Wurm um seine Verbreitung, wodurch unter anderem das Internet Storm Center einen massiven Anstieg des Traffics auf dem RDP-Port beobachten konnte. Zudem bringt der Schädling typische Bot-Funktionen mit. Er kontaktiert eine Reihe von Domains, um sich dort neue Befehle und Komponenten abzuholen. Eine detaillierte Analyse von Morto hat Microsoft veröffentlicht.

Erstmals aufgefallen ist der Wurm Mitte vergangener Woche. In Microsoft Technet-Foren häuften sich Berichte von vollständig gepatchten Systemen, die für ungewöhnlich hohen Traffic auf Port 3389 sorgten. Zu diesem Zeitpunkt wurde Morto noch von keinem Virenscanner erkannt.

Inzwischen wird Morto von den Scannern von Micosoft und F-Secure erkannt; die anderen großen AV-Hersteller dürften mitgezogen sein. Um zu verhindern, dass sich der Bot überhaupt erst am System anmeldet, sollte man via RDP erreichbare Rechner mit schwer zu erratenden Passwörtern schützen. (rei)

Quelle: http://www.heise.de/newsticker/meldu...s-1331752.html

ZombyKillah · 29.08.2011, 23:20

Einen Dank möchte ich an dieser Stelle an MS richten.
Dafür dass es mit dem Teredo Tunneling Interface möglich ist Win-Vista und Win7 Rechner ohne Probleme auch hinter IPv4 Routern/Firewalls anzusprechen.

rev.antun · 30.08.2011, 14:50

Zitat:

Zitat von ZombyKillah

Einen Dank möchte ich an dieser Stelle an MS richten.
Dafür dass es mit dem Teredo Tunneling Interface möglich ist Win-Vista und Win7 Rechner ohne Probleme auch hinter IPv4 Routern/Firewalls anzusprechen.

ist doch ein nettes feature

29.08.2011, 23:20	#2
ZombyKillah Trashtroll Registriert seit: 19.10.2008 Ort: far away but still in austria Beiträge: 1.194 Mein Computer	Einen Dank möchte ich an dieser Stelle an MS richten. Dafür dass es mit dem Teredo Tunneling Interface möglich ist Win-Vista und Win7 Rechner ohne Probleme auch hinter IPv4 Routern/Firewalls anzusprechen. ____________________________________ It's more fun to write crap that nothing! Just kidding. Ich bin für kreative Rechtschreibung, da kann man keine Fehler machen

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)