科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道终端安全“老派”Morto蠕虫病毒通过RDP蔓延

“老派”Morto蠕虫病毒通过RDP蔓延

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

各种互联网安全公司的报告显示,一个新的互联网蠕虫病毒正在广泛传播,它利用了Windows系统上的弱口令,并通过Windows远程桌面协议(Remote Desktop Protocol,RDP)传播。

来源:TechTarget中国 2011年8月31日

关键字: 蠕虫病毒

  • 评论
  • 分享微博
  • 分享邮件

  各种互联网安全公司的报告显示,一个新的互联网蠕虫病毒正在广泛传播,它利用了Windows系统上的弱口令,但它利用的传播方法很罕见。

  首次报道是在上周日,Morto蠕虫或Win32/Morto似乎是一个老派的互联网蠕虫,在由木马和僵尸占新恶意代码样本大部分的近几年,它们已经很少见了。

  根据多份报告,Morto感染Windows工作站和服务器,但是它是通过Windows远程桌面协议(Remote Desktop Protocol,RDP)传播的,RDP是Windows远程桌面链接服务的一部分,该服务允许远程的控制Windows PC机或服务器。

  “一旦机器被感染,Morto蠕虫就开始扫描已启用远程桌面连接的本地网络,”F-Secure公司首席研究主任Mikko Hypponen在一篇博客中这样说道,“这为3389/TCP端口(即RDP端口)带来了很多流量。”

  Hypponen表示,如果找到了一台这样的机器,该蠕虫会使用一系列常见的密码暴力破解尝试以管理员身份登录。成功登录后,该蠕虫将自身复制到新机,终止与本地安全应用相关的进程,并继续其传播尝试。Morto可以通过多台服务器,包括jaifr.com和qfsl.net被远程控制,Hypponen补充道。

  微软周日在TechNet博客中证实了该蠕虫的存在,但目前尚不清楚哪些Windows版本可能被感染,且容易被用来进行成功的传播。

  eEye数字安全公司的首席技术官Marc Maiffret在其公司的博客中写道,Morto蠕虫使他想起了“红色代码(CodeRed),地狱(Slammer),震荡波(Sasser),冲击波(Blaster)”以及其他病毒存在的那个时候。据Maiffret,企业可避免感染,通过直接禁止从互联网上访问RDP,使用强密码,以及改变注册表项从而让RDP使用非标准的网络端口。

  “人们可能认为在2011年,这种基本的攻击不会带来多大的影响,”Maiffret写道,“但防病毒厂商和SANS似乎都看到了RDP网络流量的增长,而造成这一现象的罪魁祸首最有可能就是Morto蠕虫通过RDP Windows帐户暴力破解(brute-forcing)来感染系统。

  在TechNet博客中,微软还建议使用强密码,应包括14个以上的字符,并含有各种不同的字母,标点符号,符号和数字。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章