Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/08/2011
Nuevo gusano se propaga a través de RDP
El nuevo gusano 'Morto' causa un aumento en el tráfico del puerto 3389, utilizado por el servicio de Terminal Remoto de los equipos Windows.
Según la empresa F-Secure, detrás del aumento del tráfico en el puerto 3389 TCP se esconde un gusano, llamado Morto, que se propaga a través del protocolo de Escritorio Remoto de Windows (Remote Desktop Protocol, RDP).
El funcionamiento de este gusano, que no explota ninguna vulnerabilidad de Windows, consiste en, una vez consigue acceder a una red, escanear los equipos que tienen el protocolo RDP activado. Entonces el gusano intenta iniciar sesión como administrador utilizando una lista de contraseñas comunes. Si consigue acceso, el gusano se copia a sus discos locales como un fichero de librería, a.dll, que crea otros ficheros y procesos en los equipos infectados, según se indica en el post de F-Secure. Microsoft también ha publicado un análisis detallado de Morto.
Una vez instalado en un nuevo equipo, el gusano intenta propagarse más allá, lo que ha provocado según ISC un pico en el tráfico hacia el puerto utilizado por el protocolo RDP, lo que indica el crecimiento en el número de equipos infectados. Además, el gusano tiene funciones normales de bot, ya que se comunica con ciertos dominios para obtener nuevas ordenes y componentes.