Morto è il worm diffuso via connessioni remote al desktop di Windows

Microsoft - Remote Desktop ConnectionÈ “inquietante” il nome scelto per l'ultima minaccia rintracciata su Windows: Morto è un worm che si diffonde attraverso il Remote Desktop Protocol (RDP), un protocollo proprietario di Microsoft per l'accesso al desktop. Il protocollo sfrutta la porta 3389 del Transmission Control Protocol (TCP) ed è in uso pure su Mac OS X e Linux.

Morto salva un file di tipo .DLL sul sistema infetto e si riproduce in locale. Una volta salvato sul disco rigido, tenta d'accedere a Windows in modalità amministratore, provando una lista di password. Sono piuttosto blande: è difficile che un sistemista le utilizzi davvero. L'intenzione è quella d'entrare nelle cartelle condivise.

L'ingresso prevede l'utilizzo di tsclient per generare un drive virtuale temporaneo in A: e auto-clonarsi sul sistema infetto. Morto è controllato dal web apparentemente dai domini jaifr.com e qfsl.net: tra i file creati dal worm ci sono \windows\system32\sens32.dll e \windows\offline web pages\cache.txt. Controllatene la presenza.

Via | The Register

  • shares
  • Mail