リモートデスクトップ接続を介して感染するワーム「Morto」が発生


 F-Secureは28日、リモートデスクトップ接続を介して感染を広げるワーム「Morto」を発見したとして、注意を喚起した。

 「Morto」に感染したマシンは、ローカルネットワークをスキャンし、リモートデスクトップ接続が可能になっているマシンを探す。これにより、リモートデスクトップ接続のポートであるTCP 3389番ポートで多くのトラフィックが発生する。

 マシンが見つかると、管理者としてログインしようとし、「admin」「password」「server」など一連のパスワードを試みる。接続が成功すると、Morto自身を対象のマシンにコピーする。また、「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」など、いくつかの新しいファイルが作成される。また、Mortoは外部からのコントロールサーバーからの制御も可能になっているという。

 F-Secureでは、既に複数のサンプルを確認しており、これらのファイルについては「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出に対応している。


関連情報

(三柳 英樹)

2011/8/30 17:07