2011-08-31
發現全新「Morto」蠕蟲病毒
基於Remote Desktop協定遠端登入
文: Goofy Ko / 新聞中心
文章索引: 封面故事 IT要聞 IT港聞

F-Secure 31 日宣佈發現全新網絡蠕蟲病毒並正在廣泛傳播中,該蠕蟲病毒稱為「 Morto 」,主要影響運行 Windows 的 Workstation 及服務器,它利用 Remote Desktop Protocol 協議,一旦有電腦被感染將會掃描本地網絡,並嘗試採用遠端登入遙遠控制它。

 

有別於近期常找到的機器人及木馬,今次發現的網絡蠕蟲是採用了 Remote Desktop Protocol 協定,大部份 Windows 作業系統均支援此協議,能令用家遠端控制另一台 PC ,為使用者帶來方便,但「 Morto 」卻利用了此一功能,當本地網絡中其中一台 PC 被感染,蠕蟲就會開始掃描本地網絡內的其他啟用了 Remote Desktop Connection 的電腦。

 

當確定了其他啟用 Remote Desktop Connection 的 IP Address ,「 Morto 」是嘗試以管理員身份進行登錄,木馬內建有一系列的密碼,這些均是人們常用的簡單密碼,當一旦被攻破便會被裝上木馬及控制這台 PC 。

 

就算「 Morto 」沒有攻破 Remote Desktop 的密碼防線,它同樣造成了大量的不便,例如大量的 Port 3389/TCP 的資料傳輸,令使用 Remote Desktop 時出現錯誤或斷線。

 

正常情況下,當你您使用 Remote Desktop Connection 遙控連接到其他電腦時,您是可以透過 Windows 分享並存取該電腦的 \\tsclient\c 和 \\tsclient\d 的硬碟機, Morto 蠕蟲會透過此功能,將自己以一個名為 a.dll 的檔案複製到其他電腦的 A: 臨時硬碟機中,受感染的電腦系統會創造一些新的系統檔案, \windows\system32\sens32.dll 及 \windows\offline web pages\cache.txt 。

 

Remote Desktop

分享到:
發表評論
本篇文章被 23532 人閱讀,共有 個評論