如今,蠕虫已经不常见了,更多的是木马和僵尸程序,但我们刚找到一种新型蠕虫,并且正在广泛传播。
如今,蠕虫已经不常见了,更多的是木马和僵尸程序,但我们刚找到一种新型蠕虫,并且正在广泛传播。F-Secure将它命名为Morto(Backdoor:W32/Morto.A and Worm:W32/Morto.B) , 受影响的平台包括工作站和服务器,它使用一种新型的载体:RDP(瘟到死内置的远程桌面连接协议) ,这个就不解释了……
一旦某台电脑受到感染,就会扫描本地网络中允许远程桌面连接的机器,并且在RDP端口(port 3389/TCP)发起大量连接,当找到一台远程桌面服务器后,Morto 会尝试不同的密码,并试图以管理员的身份登录。
admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890
之后Morto会利用远程连接带来的便利性通过产生一个临时的“A”驱动器,同时把一个名为”a.dll“ 的文件复制到其中
类似的现象还包括在系统里制造出名为windowssystem32sens32.dll 和windowsoffline web pagescache.txt 的新文件。
其他的特性还有Morto 能被几台不同的服务器远程操纵
我们已经发现了几个不同的样本,以下是它们的MD5值
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d
网友评论