| RQ |
Дата: Четверг, 01.09.2011, 22:06 | Сообщение # 1 |
|
Уважаемый
Сообщений: 5542
| Эксперты из компании F-Secure предупреждают о новом сетевом черве, который пытается распространяться по протоколу RDP, используя brute force.
Протокол RDP был разработан компанией Microsoft для удалённого администрирования компьютеров с использованием графического интерфейса. Эта технология присутствует с некоторыми ограничениями во всех поддерживаемых на данный момент версиях Windows.
Согласно информации от исследователей из F-Secure, после заражения компьютера новый червь, названный Morto, начинает сканирование сети в поисках компьютеров, принимающих соединения на порт 3389/TCP, который по умолчанию является портом RDP. Когда потенциальные компьютеры-жертвы установлены, червь пытается войти в их систему с правами администратора, используя список жёстко запрограммированных паролей. Это может вызвать скачок в RDP-траффике. Если червю удаётся войти в систему, Morto загружает свои компоненты, включая файлы "%windows%\temp\ntshrui.dll" и "%windows%\offline web pages\cache.txt", на компьютеры-жертвы. Затем червь докладывает о проделанной работе на командный сервер, используя список доменных имён и IP-адресов, с которых он в дальнейшем может загрузить остальные файлы.
Основной функцией Morto является запуск DDoS-атак. Он также убивает процессы, имена которых соответствуют популярным приложениям для защиты компьютера.
Согласно данным VirusTotal, на данный момент 19 из 44 антивирусных движков, используемых сервисом, могут обнаружить эту угрозу. Пользователям рекомендуется отключить RDP на компьютерах, где он не используется, и установить надёжный пароль для учётной записи администратора.
http://www.overclockers.ru/softnew....DP.html
Червь Morto A успешно продолжает свою вредоносную деятельность, несмотря на свою зависимость от слабых паролей.
Чтобы червь действовал эффективно, пароль компьютера, находящего под угрозой заражения, должен быть одним из 37 вариантов простейших паролей, которые содержатся в базе данных червя.
"Однако червь, который проникает в удаленные компьютеры при помощи подбора пароля к службе удаленного доступа компании Microsoft, продолжает стремительно распространяться", - сообщают эксперты по безопасности.
"Как только хакеры получают доступ к устройству, компьютер можно использовать для проведения атак на отказ в обслуживании", - указывается в предупреждении компании Microsoft.
Morto A является весьма редким интернет-червем, потому что он нацелен на самую примитивную уязвимость, говорит Микко Хиппонен, руководитель исследовательской лаборатории компании F-Secure. Но он также утверждает, что это принципиально новый подход: червь использует RDP-протокол. Как только компьютер заражен, червь сканирует порт 3389 (RDP) в подсети, пытаясь найти другие компьютеры с открытой службой. Червь перебирает свой список паролей, и когда пароль подходит, останавливает все процессы, связанные с обеспечением безопасности на компьютере.
Один из наиболее легких способов обнаружить, что компьютер заражен вирусом, следить за деятельностью порта 3389, советует Microsoft.
Примеры простых паролей, которыми пользуется Morto A:
*1234, 0, 111, 123, 369, 1111, 12345, 111111, 123123, 123321, 123456, 168168, 520520, 654321, 666666, 888888, 1234567, 12345678, 123456789, 1234567890, !@#$%^, %u%, %u%12, 1234qwer, 1q2w3e, 1qaz2wsx, aaa, abc123, abcd1234, admin, admin123, letmein, pass, password, server, test и user.
http://www.xakep.ru/post/56647/default.asp
Так называемые парадоксы автора, шокирующие читателя,
находятся часто не в книге автора, а в голове читателя.
|
| |
| |
[
Новые сообщения ·
Поиск ·
Правила форума ·
Участники ·
RSS ·
Новое на форуме ]
