На прошлой неделе сисадмины во многих организациях начали отмечать необъяснимые всплески соединений систем с Интернетом; как выяснили специалисты F-Secure и Microsoft, виновник этого явления — новый Windows-червь под названием Morto. По сведениям F-Secure, это первый червь, который распространяется с использованием Remote Desktop Protocol — протокола Microsoft для дистанционного управления компьютерами.
ПК, инфицированные Morto, сканируют локальную сеть, ища компьютеры с активной службой Remote Desktop Connection. При обнаружении такого компьютера червь пытается зайти на него путем перебора простых паролей наподобие 123, password, admin и т. п. из заранее составленного списка. В случае удачи червь загружает на инфицированную систему свои дополнительные компоненты и пытается вывести из строя ПО безопасности.
Сканирование червем сети на предмет поиска потенциальных жертв приводит к обильному трафику на порту 3389, используемому RDP. Как подчеркивают специалисты по безопасности, Morto не пользуется какими-либо уязвимостями в самом RDP, а полагается исключительно на слабость паролей.