Morto scannt RDP Schnittstellen auf unsichere Passwörter
Derzeit treibt ein neuer Wurm sein Unwesen, welcher Rechner auf offene RDP Ports checkt und falls dieser gefunden wird – Logins mit der Kennung Administrator und diversen häufig genutzten Passwörtern durchführt.
Ist die Attacke erfolgreich, generiert Morto ein Laufwerk “A” welches er als Network-Share benutzt. Über diese werden dann Files abgelegt, welche zur weiteren Verbreitung dienen und scheinbar diverse Domains abhören um neue Kommandos zu empfangen.
Solltet ihr im Netzwerk erhöhten RDP Traffic feststellen, solltet ihr den betroffenen Rechner auf folgende Dinge checken:
%Windows%\clb.dll
%Windows%\clb.dll.bak
%windows%\temp\ntshrui.dll
<system folder>\sens32.dll
c:\windows\offline web pages\cache.txt
Privat-Anwender dürften vor diesem Wurm relativ sicher sein. Denn ein normaler DSL Router sollte einen Angriff des Wurms verhindern.
Mehr Infos könnt ihr hier bekommen!
Wurm Aliases:
Trojan horse Generic24.OJQ (AVG)
Trojan.DownLoader4.48720 (Dr.Web)
Win-Trojan/Helpagent.7184 (AhnLab)
Troj/Agent-TEE (Sophos)
Backdoor:Win32/Morto.A (Microsoft)
Tags:
- offline web pages cache txt
- trojan agent cache txt
- morto c entferner
- win32/morto c
- w32/morto c worm