• Windows Remote Desktop Facilita Propagação de Worm

    Publicado em 29-08-2011 20:05
    0 Comentários Comentários
    A F-Secure, especialista em fornecimento de software anti-vírus, faz um alerta sobre uma amostra de malware com o nome de "Morto", que está proliferando através do Windows Remote Desktop Server (RDP server). Essa amostra não explora uma vulnerabilidade de segurança do Windows, ao invés disso, ela verifica intervalos de endereços IP para a RDP porta 3389, e depois tenta fazer login como administrador para todos os computadores que respondem, usando uma lista de senhas comuns.

    Este worm infecta principalmente servidores Windows, onde o RDP é freqüentemente ativado e acessível via Web, permitindo que haja a manutenção remota. Com a finalidade de se infiltrar em um sistema de forma permanente, o worm cria um A: \ drive, que pode então ser tratado como um compartilhamento de rede via RDP.

    Na sequência, ele salva um arquivo a.dll ao compartilhamento de rede; este arquivo, em seguida, inicia a infecção. Em face disso, o worm passa a criar mais arquivos, incluindo \windows\system32\sens32.dll and \windows\offline web pages\cache.txt.

    Lembrando que "Morto" foi detectado através da Microsoft e produtos da F-Secure. Para evitar que o bot se conecte aos seus sistemas, os usuários devem proteger os seus computadores, não utilizando senhas de baixa relevância.


    Saiba Mais:

    [1] F-Secure Weblog http://www.f-secure.com/weblog/archives/00002227.html
    [2] Heise On-line http://www.h-online.com/security/new...p-1332673.html
    + Enviar Comentário