Deu
  1. Skip to navigation
  2. Skip to content
  3. Skip to sidebar


Nachrichten

Es kriecht wieder im Netz – F-Secure entdeckt neuen Internetwurm

München, 01. September 2011 – Manche hielten ihn schon für ausgestorben. Doch der Internetwurm ist zurück und F-Secure hat das jüngste Mitglied der Spezies entdeckt. Er hört auf den Namen „Morto“ und verbreitet sich ungewöhnlich rasant, die schnelle Ausbreitung liegt am Remote Desktop Protocol welches von Windows unterstützt wird – damit kann man einen anderen verbunden Computer wie den eigenen bedienen und steuern.

Ist ein Rechner mit Morto infiziert, überwacht der Wurm dort Prozesse, die im Zusammenhang mit Sicherheits-Software stehen und terminiert diese zum Teil. Zudem versucht der Schädling, eine Verbindung mit ss.qfsl.net, test.qfsl.net:1031 und 74.125.71.104:80 aufzubauen. Vermutlich um einen Bericht zu senden, auf Befehle zu warten oder Updates zu empfangen. Zur Weiterverbreitung startet der Wurm den Scan des lokalen Netzwerks nach Rechnern, bei denen die Remote Desktop Verbindung aktiviert ist. Findet Morto einen solchen Remote-Desktop-Server, versucht er sich mit sehr schwachen Passwörtern wie beispielsweise „admin“, „12345“ oder „test“ als Administrator anzumelden. Über die Funktionen des Remote Desktop Protocol kann sich der Schädling auch dort einnisten und das Spiel beginnt von vorn.

Die eigentliche Absicht hinter diesem Angriff ist noch unklar. Über die oben genannten Verbindungen nach Hause könnten die infizierten Maschinen in jedem Fall als Botnetz eingesetzt und beispielsweise für sogenannte Distributed  Denial of Service Attacken (DDoS) missbraucht werden, um bestimmte Webangebote lahm zu legen.

Morto-Komponenten werden von F-Secure als Backdoor:W32/Morto.A und Worm:W32/Morto.B erkannt.

Die genaue Schädlingsbeschreibung finden Sie unter: http://www.f-secure.com/v-descs/worm_w32_morto_a.shtml

Weitere Informationen unter:
http://www.f-secure.com/weblog/archives/00002227.html
twitter.com/fsecure_de
facebook.com/f-secureDE