Pas på Morto-ormen: Spredes via Remote Desktop Protocol

Illustration: leowolfert/Bigstock
Internet-ormen med navnet Morto hærger i øjeblikket og spredes via Windows Remote Desktop Protocol (RDP).

Sikkerhedsfirmaet F-Secure rapporterer om, at ormen "Morto" spredes via Windows Remote Desktop Protocol (RDP).

Ormen står bag en stigning i trafikken på Port 3389/TCP. Når ormen først er sluppet ind i et netværk, begynder den at søge efter maskiner, der har aktiveret RDP. Sårbare computere kopierer Morto til deres lokale drev som et Dynamic-link library, DLL, som skaber andre filer. Disse er beskrevet af F-Secure i deres blog-indlæg om ormen.

Sikkerhedsfirmaet SANS bemærkede allerede en kraftig vækst i RDP-trafikken i løbet af weekenden, hvilket stærkt indikerer en stigning i antallet af inficerede værter. Det skriver The Register.

Både Windows-servere og -arbejdsstationer anses for at være sårbare overfor Morto. F-Secure mener også at serverne på jaifr.com og qfsl.net bliver brugt til at fjernstyre Morto ormen

Den første store spredning af Morto blev allerede observeret tidligt i august, men siden da har SANS kunne konstatere, at trafikken er vokset tifold.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Uffe Seerup

I og med at denne "orm" ikke udnytter en system sårbarhed men derimod (ekstremt) svage administrator passwords.

Så hvis du ikke benytter 666666, 1234567, qwerty eller lignende som password så er der ikke grund til bekymring.

Hvis du ikke har slået UAC fra er der heller ikke noget problem: Ormen forsøger at logge på som administrator, og under UAC er administrator kontoen disablet.

  • 0
  • 0
Venligst Slet Min Bruger

der er nogle der har fundet ud af udnytte http://support.microsoft.com/kb/2570222 til andet en DoS , men det ser ud til at er simpel password gæt.

Ifølge MS' technet-forum, så er også folk, der har installeret denne patch, 'ramt' af ormen.

Der er dog ikke ret meget over det. Det er jo bare en automatiseret proces, der forsøger at logge ind på en admin-konto.

Har man et ordentligt password, er der ingen problemer, mig bekendt.

  • 0
  • 0
Flemming Riis
  • 0
  • 0
Lenny Hansson

Hej Man kunne fritstes til at tænke, at dem der bliver ramt af det næsten fortjener at blive ramt. Deres password politik må virkelig stinke for hårdt :-)

Der er vel ingen der bare tillader RDP ud imod den store verden, andet end dem med den dårlige password politik ! Og sjovt nok dem er der mange af

Dem her kan man stadig finde i en Google søgning - tsweb/default.htm

\Lenny

  • 0
  • 0
Log ind eller Opret konto for at kommentere