È “inquietante” il nome scelto per l’ultima minaccia rintracciata su Windows: Morto è un worm che si diffonde attraverso il Remote Desktop Protocol (RDP), un protocollo proprietario di Microsoft per l’accesso al desktop. Il protocollo sfrutta la porta 3389 del Transmission Control Protocol (TCP) ed è in uso pure su Mac OS X e Linux.
Morto salva un file di tipo .DLL sul sistema infetto e si riproduce in locale. Una volta salvato sul disco rigido, tenta d’accedere a Windows in modalità amministratore, provando una lista di password. Sono piuttosto blande: è difficile che un sistemista le utilizzi davvero. L’intenzione è quella d’entrare nelle cartelle condivise.
L’ingresso prevede l’utilizzo di tsclient per generare un drive virtuale temporaneo in A: e auto-clonarsi sul sistema infetto. Morto è controllato dal web apparentemente dai domini jaifr.com e qfsl.net: tra i file creati dal worm ci sono windowssystem32sens32.dll e windowsoffline web pagescache.txt. Controllatene la presenza.
Via | The Register
Seguici
downloadblog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Downloadblog.it contattare la concessionaria esclusiva Populis Engage.
