Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/08/2011
Nou cuc es propaga a través de RDP
El nou cuc Morto causa un augment en el trànsit del port 3389, utilitzat pel servei de Terminal Remot dels equips Windows.
Segons l'empresa F-Secure, darrere de l'augment del trànsit en el port 3389 TCP s'amaga un cuc, anomenat Morto, que es propaga a través del protocol de l’escriptori remot de Windows (Remote Desktop Protocol, RDP).
El funcionament d'aquest cuc, que no explota cap vulnerabilitat de Windows, consisteix en que, una vegada aconsegueix accedir a una xarxa, escanejà els equipaments que tenen el protocol RDP activat. Llavors el cuc intenta iniciar sessió com a administrador, utilitzant una llista de contrasenyes comunes. Si aconsegueix accés, el cuc es copia als seus discos locals com un fitxer de llibreria, a.dll, que crea altres fitxers i processos en els equips infectats, segons s'indica en l’article (post) de F-Secure:el post de F-Secure. Microsoft també ha publicat una análisi detallada de Morto.
Una vegada instal·lat en un nou equipament, el cuc intenta propagar-se més enllà, la qual cosa ha provocat, segons ISC un pic en el trànsit cap al port utilitzat pel protocol RDP, cosa que indica el creixement en el nombre d'equipaments infectats. A més, el cuc té funcions normals de arrencada (boot), ja que es comunica amb certs dominis per a obtindre noves ordes i components.