Un nuevo gusano, llamado Morto, está infectando máquinas masivamente a través del protocolo de escritorio remoto de Microsoft (RDP).
Morto es el primer gusano de Internet que utiliza RDP como vector de infección. A diferencia de otros gusanos automatizados como CodeRed, Blaster, Sasser y Slammer, que llegaron a causar estragos en las redes empresariales, este gusano no se aprovecha de ninguna vulnerabilidad específica de Windows. Por el contrario, busca las máquinas en la red con el puerto 3389 abierto, utilizado comúnmente por RDP y luego trata de obtener la contraseña del administrador (y de otros usuarios con nombres predecibles) por fuerza bruta.
Para ello utiliza una lista de unas 30 contraseñas muy comunes como admin, admin123, user, test, *1234, letmein, password, server o 1234567890. Una vez que el gusano consigue entrar con una de estas contraseñas predecibles, se conecta al sistema remoto y se autocopia. Ya se han identificado varias variantes de Morto.
Morto también finaliza los procesos de aplicaciones de seguridad locales para que no pueda ser detectado, incluyendo herramientas antivirus como Avast, AVG, AV Clam, McAfee y Norton, entre otros.
Una vez que el sistema ha sido infectado con éxito, Morto escanea la red local en busca de nuevas estaciones de trabajo y servidores para infectar. El gusano también genera una gran cantidad de tráfico similar al de una red de bots, recibiendo órdenes y descargando archivos desde un servidor C&C y ejecutando consultas DNS. Morto también puede ser controlado remotamente e incluso realizar ataques de DDoS contra objetivos específicos.
Las contramedidas contra este nuevo gusano son establecer contraseñas seguras, ejecutar RDP en un puerto no estándar y NO permitir RDP directamente desde la Internet, o al menos, la autenticación VPN debe exigir antes de tener acceso.
Referencias:
'Morto' Worm Infects Windows Systems With Weak Passwords
Inteco: detalle de virus Morto
Actualizaciones:
More on Morto - Microsoft Malware Protection Center
Morto es el primer gusano de Internet que utiliza RDP como vector de infección. A diferencia de otros gusanos automatizados como CodeRed, Blaster, Sasser y Slammer, que llegaron a causar estragos en las redes empresariales, este gusano no se aprovecha de ninguna vulnerabilidad específica de Windows. Por el contrario, busca las máquinas en la red con el puerto 3389 abierto, utilizado comúnmente por RDP y luego trata de obtener la contraseña del administrador (y de otros usuarios con nombres predecibles) por fuerza bruta.
Para ello utiliza una lista de unas 30 contraseñas muy comunes como admin, admin123, user, test, *1234, letmein, password, server o 1234567890. Una vez que el gusano consigue entrar con una de estas contraseñas predecibles, se conecta al sistema remoto y se autocopia. Ya se han identificado varias variantes de Morto.
Morto también finaliza los procesos de aplicaciones de seguridad locales para que no pueda ser detectado, incluyendo herramientas antivirus como Avast, AVG, AV Clam, McAfee y Norton, entre otros.
Una vez que el sistema ha sido infectado con éxito, Morto escanea la red local en busca de nuevas estaciones de trabajo y servidores para infectar. El gusano también genera una gran cantidad de tráfico similar al de una red de bots, recibiendo órdenes y descargando archivos desde un servidor C&C y ejecutando consultas DNS. Morto también puede ser controlado remotamente e incluso realizar ataques de DDoS contra objetivos específicos.
Las contramedidas contra este nuevo gusano son establecer contraseñas seguras, ejecutar RDP en un puerto no estándar y NO permitir RDP directamente desde la Internet, o al menos, la autenticación VPN debe exigir antes de tener acceso.
Referencias:
'Morto' Worm Infects Windows Systems With Weak Passwords
Inteco: detalle de virus Morto
Actualizaciones:
More on Morto - Microsoft Malware Protection Center
Comentarios
Publicar un comentario