Internetwurm "Morto" infiziert Windows-Workstations und -Server mittels "schwacher" Passwörter

Zur Weiterverbreitung startet der Wurm den Scan des lokalen Netzwerks nach Rechnern, bei denen die Remote Desktop-Verbindung aktiviert ist

(06.09.11) - Der Internetwurm "Morto" ist zurück, und F-Secure hat nach eigenen Angaben das jüngste Mitglied der Spezies entdeckt. Der Wurm verbreite sich ungewöhnlich rasant, die schnelle Ausbreitung liege am Remote Desktop Protocol, welches von Windows unterstützt werde. Damit könne man einen anderen verbunden Computer wie den eigenen bedienen und steuern.

Sei ein Rechner mit Morto infiziert, überwache der Wurm dort Prozesse, die im Zusammenhang mit Sicherheits-Software stehen und terminiere diese zum Teil.

Zudem versuche der Schädling, eine Verbindung mit ss.qfsl.net, test.qfsl.net:1031 und 74.125.71.104:80 aufzubauen. Vermutlich um einen Bericht zu senden, auf Befehle zu warten oder Updates zu empfangen. Zur Weiterverbreitung starte der Wurm den Scan des lokalen Netzwerks nach Rechnern, bei denen die Remote Desktop-Verbindung aktiviert sei. Finde Morto einen solchen Remote-Desktop-Server, versuche er sich mit sehr schwachen Passwörtern wie beispielsweise "admin", "12345" oder "test" als Administrator anzumelden. Über die Funktionen des Remote Desktop Protocol könne sich der Schädling auch dort einnisten und das Spiel beginne von vorn.

Die eigentliche Absicht hinter diesem Angriff sei noch unklar. Über die oben genannten Verbindungen nach Hause könnten die infizierten Maschinen in jedem Fall als Botnetz eingesetzt und beispielsweise für sogenannte Distributed Denial of Service Attacken (DDoS) missbraucht werden, um bestimmte Webangebote lahm zu legen.

Morto-Komponenten werden von F-Secure als Backdoor:W32/Morto.A und Worm:W32/Morto.B erkannt. (F-Secure: ra)