انتشار یک کرم جدید از طریق برنامه Windows Remote Desktop

شرکت سازننده آنتی ویروس F-Secure اخطار کرده است که نوعی بدافزار به نام Morto در حال انتشار است که خود را از طریق سرورهای ریموت دسک تاپ ویندوزی منتقل می کند. این کرم یک آسیب پذیری امنیتی درون ویندوز نیست، بلکه به اسکن آدرس های IP متصل به پورت ۳۳۸۹ (که متعلق به برنامه Remote Desktop Server است) می پردازد. سپس با استفاده از آدرس های پیدا شده و لیست رمزعبورهای متداول درون بانک اطلاعاتی اش، سعی می کند به عنوان کاربر ادمین وارد سرور ویندوزی شود.
این کرم به طور معمول سرورهای ویندوزی را آلوده می کند که امکان اتصال از راه دور آنها با ریموت دسک تاپ فعال باشد و به صورت مداوم از طریق اینترنت مورد استفاده قرار گیرد. بر روی ویندوزهای معمولی، نرم افزار ریموت دسک تاپ تنها بر روی برخی نسخه های ویژه نصب است و معمولا هم غیر فعال است. در برخی موارد این پورت برای امنیت بیشتر، با استفاده از امکان پورت فورواردینگ درون روتر، تنها برای دسترسی از طریق اینترنت تنظیم شده است. اگر چنین کاری انجام نشده باشد و توسط شما هم انجام نگیرد، آنگاه سرور ویندوزی تان از طریق هر یک از کامپیوترهای آلوده درون شبکه تان قابل دسترسی و آلوده شدن است.
برای نفوذ به یک سیستم پایدار، کرم درایو \A: را ایجاد می کند تا بتواند آن را درون شبکه از طریق ریموت دسک تاپ به اشتراک گذاشته و تبدیل به مپ درایو کند. آنگاه فایل a.dll را درون این مپ درایو اشتراکی، ایجاد می کند. حال این فایل باعث آلوده شدن سیستم هدف می گردد. اکنون کرم سعی می کند که روی سیستم هدف فایل های بیشتری از قبیل \windows\system32\sens32.dll و \windows\offline web pages\cache.txt ایجاد کند.
اولین باری که نصب بر روی کامپیوتر قربانی جدید به پایان برسد. کرم از طریق آن به دنبال قربانی های تازه ای برای آلوده کردن می گردد. بر اساس گزارش Internet Storm Center، این کرم باعث حجم بسیار عظیم ترافیکی بر روی پورت ریموت دسک تاپ ویندوز شده است. این بدافزار همچنین قادر است وظایف معمول یک بات نت را هم بر عهده بگیرد. کرم خرابکار ما دارای یک سری از دستورات و دامنه ها است تا بتواند ابزارها و فرمان های جدید را دریافت کند. مایکروسافت هم چندی است که جزئیات آنالیز مورتو را منتشر کرده است.
اولین نشانه های مورتو در روزهای میانی هفته گذشته مشاهده شده اند. فروم Technet مایکروسافت شاهد گزارش های فراوانی بود که از سیستم های پچ شده ارسال می شد و مبنی بر ترافیک شدیدی روی پورت ۳۳۸۹ بود. در آن مرحله مورتو هنوز توسط هیچ یک از آنتی ویروس های موجود قابل شناسایی و حذف نبود.
اما هم اکنون می توانید با محصولات امنیتی مایکروسافت و F-Secure کلک این کرم بدذات را بکنید. البته بقیه شرکت های تولید کننده آنتی ویروس هم در حال به روز کردن بانک اطلاعاتی شان برای مبارزه با مورتو هستند. بهترین راه مقابله با این بات و کرم خطرناک، استفاده از رمزهای عبور سخت و غیر قابل حدس است، تا این کرم نتواند به سیستم نفوذ کند.
کرم کامپیوتری چیست و چگونه به کامپیوتر آسیب می زند؟
شرکت سازننده آنتی ویروس F-Secure اخطار کرده است که نوعی بدافزار به نام Morto در حال انتشار است که خود را از طریق سرورهای ریموت دسک تاپ ویندوزی منتقل می کند. این کرم یک آسیب پذیری امنیتی درون ویندوز نیست، بلکه به اسکن آدرس های IP متصل به پورت ۳۳۸۹ (که متعلق به برنامه Remote Desktop Server است) می پردازد. سپس با استفاده از آدرس های پیدا شده و لیست رمزعبورهای متداول درون بانک اطلاعاتی اش، سعی می کند به عنوان کاربر ادمین وارد سرور ویندوزی شود.
انتشار یک کرم جدید از طریق برنامه Windows Remote Desktop  - لوگکت


ادامه مطلب

سرچشمه : نگهبان


منتشر شده بوسیله سرویس خودکار 'شبکه انتشار' لوگکت

Similar Threads: