Thema: Wurm verbeitet sich über Remote-Desktop-Funktion von Windows

[SiLæncer]

Der AV-Hersteller F-Secure warnt vor dem Schädling Morto, der sich über die Remote-Desktop-Server (RDP-Server) von Windows verbreitet. Der Wurm nutzt keine Sicherheitslücken in Windows aus. Er scannt IP-Adressbereiche nach dem RDP-Port 3389 und probiert bei den antwortenden Rechnern einen Login als Administrator mit einer Liste häufig genutzter Passwörter.

Der Wurm befällt vor allem Windows-Server, da hier RDP häufig zwecks Fernwartung aktiv und über das Internet erreichbar ist. Bei den Heimanwender-Versionen von Windows ist der RDP-Server nur in den höherpreisigen Versionen enthalten (bei 7 ab Professional) und muss zudem von Hand aktiviert werden. Außerdem ist der Port in diesem Fall nur von außen erreichbar, wenn im Router explizit ein Port-Forwarding eingerichtet wurde. Ist dies nicht der Fall, können die Zugriffe nur von anderen infizierten Rechnern im Heimnetz erfolgen.

Um sich dauerhaft im System einzunisten, legt der Wurm anschließend ein Laufwerk A:\ an, das über RDP wie eine Netzwerkfreigabe angesprochen werden kann. Auf der Freigabe platziert er schließlich die Datei a.dll, die sich um die weitere Infektion kümmert. Im weiteren Infektionsverlauf legt Morto unter anderem die Dateien \windows\system32\sens32.dll und \windows\offline web pages\cache.txt an.

Auf dem infizierten Rechner kümmert sich der Wurm um seine Verbreitung, wodurch unter anderem das Internet Storm Center einen massiven Anstieg des Traffics auf dem RDP-Port beobachten konnte. Zudem bringt der Schädling typische Bot-Funktionen mit. Er kontaktiert eine Reihe von Domains, um sich dort neue Befehle und Komponenten abzuholen. Eine detaillierte Analyse von Morto hat Microsoft veröffentlicht.

Erstmals aufgefallen ist der Wurm Mitte vergangener Woche. In Microsoft Technet-Foren häuften sich Berichte von vollständig gepatchten Systemen, die für ungewöhnlich hohen Traffic auf Port 3389 sorgten. Zu diesem Zeitpunkt wurde Morto noch von keinem Virenscanner erkannt.

Inzwischen wird Morto von den Scannern von Micosoft und F-Secure erkannt; die anderen großen AV-Hersteller dürften mitgezogen sein. Um zu verhindern, dass sich der Bot überhaupt erst am System anmeldet, sollte man via RDP erreichbare Rechner mit schwer zu erratenden Passwörtern schützen.

Quelle : www.heise.de

[SiLæncer]

Nachdem der RDP-Wurm Morto im letzten Monat aufgetaucht ist, richtet sich das Augenmerk auf RDP-Scans.

Ein Leser des Sans Internet Storm Center hat die Sicherheits-Experten darauf aufmerksam gemacht, dass er möglicherweise eine neue Version von Morto gefunden hat. Der Virenscanner hat den Wurm nicht erkannt und er ist auch nicht unter c:Windows\temp\scvhosts.exe, wie Morto, zu finden.

Allerdings ist der erhöhte Netzwerkverkehr auf dem RDP-Port 3389/tcp verdächtig. Bisher war der Anwender nicht in der Lage den Prozess zu identifizieren, der für die Port-Scans verantwortlich ist. Wer ein ähnliches Phänomen beobachtet, möchte sich an SANS wenden.

Quelle : www.tecchannel.de