Poreclit Morto, worm-ul nu utilizeaza o vulnerabilitate anume ci se propaga prin compromiterea conexiunii Remote Desktop de pe o retea prin intermediul atacurilor brute-force. Pana in prezent, numarul total de detectii este relativ scazut - cercetatorii de la F-Secure estimeaza cateva mii - dar rapoartele de trafic crescand pe portul 3389 au determinat Microsoft sa emita un raport consultativ cu privire la Morto.
"De indata ce un nou sistem este compromis, se conecteaza la un remote server in scopul de a descarca informatii suplimentare şi sa-si actualizeze componentele" a postat pe blog Hil Gradascevic, un cercetator din cadrul Microsoft's Malware Protection Center.
"Acesta termina, de asemenea, procesele care ruleaza la nivel local pentru aplicatii de securitate, in scopul de a asigura activitatea continua neintrerupta. Utilizatorii afectati ar trebui sa retina ca un reboot ar putea fi necesar pentru a finaliza procesul de dezinfectare."
In timp ce 74 % din computerele afectate ruleaza Windows XP, infectii au fost depistate si pe Windows Vista, Windows 7 şi Windows Server 2003 şi 2008.
Intr-un post separat de pe blog, angajatii Microsoft, Holly Stewart şi Matt McCormack au remarcat tentativele lui Morto de a compromite nu numai contul de administrator atunci cand executa atacuri brute-force asupra conexiunilor RDP. De asemenea, testeaza conectivitatea la internet a computerului afectat, prin incercarea de a se conecta la IP-ul 74.125.71.104, o adresa IP detinuta de o societate legitima despre care se crede ca nu are nicio legatura cu malware-ul. Daca nu reuseste sa se conecteze, trece la incercarea ciclica a tuturor adreselor IP din subnet-ul calculatorului afectat şi incearca sa se conecteze la alte gazde folosind nume de utilizator diferite, cum ar fi "admin" sau "backup".
"De indata ce un nou sistem este compromis, se conecteaza la un remote server in scopul de a descarca informatii suplimentare şi sa-si actualizeze componentele" a postat pe blog Hil Gradascevic, un cercetator din cadrul Microsoft's Malware Protection Center.
"Acesta termina, de asemenea, procesele care ruleaza la nivel local pentru aplicatii de securitate, in scopul de a asigura activitatea continua neintrerupta. Utilizatorii afectati ar trebui sa retina ca un reboot ar putea fi necesar pentru a finaliza procesul de dezinfectare."
In timp ce 74 % din computerele afectate ruleaza Windows XP, infectii au fost depistate si pe Windows Vista, Windows 7 şi Windows Server 2003 şi 2008.
Intr-un post separat de pe blog, angajatii Microsoft, Holly Stewart şi Matt McCormack au remarcat tentativele lui Morto de a compromite nu numai contul de administrator atunci cand executa atacuri brute-force asupra conexiunilor RDP. De asemenea, testeaza conectivitatea la internet a computerului afectat, prin incercarea de a se conecta la IP-ul 74.125.71.104, o adresa IP detinuta de o societate legitima despre care se crede ca nu are nicio legatura cu malware-ul. Daca nu reuseste sa se conecteze, trece la incercarea ciclica a tuturor adreselor IP din subnet-ul calculatorului afectat şi incearca sa se conecteze la alte gazde folosind nume de utilizator diferite, cum ar fi "admin" sau "backup".
Niciun comentariu:
Trimiteți un comentariu