“老派”Morto蠕虫病毒通过RDP蔓延

　　各种互联网安全公司的报告显示，一个新的互联网蠕虫病毒正在广泛传播，它利用了Windows系统上的弱口令，但它利用的传播方法很罕见。

　　首次报道是在上周日，Morto蠕虫或Win32/Morto似乎是一个老派的互联网蠕虫，在由木马和僵尸占新恶意代码样本大部分的近几年，它们已经很少见了。

　　根据多份报告，Morto感染Windows工作站和服务器，但是它是通过Windows远程桌面协议(Remote Desktop Protocol，RDP)传播的，RDP是Windows远程桌面链接服务的一部分，该服务允许远程的控制Windows PC机或服务器。

　　“一旦机器被感染，Morto蠕虫就开始扫描已启用远程桌面连接的本地网络，”F-Secure公司首席研究主任Mikko Hypponen在一篇博客中这样说道，“这为3389/TCP端口(即RDP端口)带来了很多流量。”

　　Hypponen表示，如果找到了一台这样的机器，该蠕虫会使用一系列常见的密码暴力破解尝试以管理员身份登录。成功登录后，该蠕虫将自身复制到新机，终止与本地安全应用相关的进程，并继续其传播尝试。Morto可以通过多台服务器，包括jaifr.com和qfsl.net被远程控制，Hypponen补充道。

　　微软周日在TechNet博客中证实了该蠕虫的存在，但目前尚不清楚哪些Windows版本可能被感染，且容易被用来进行成功的传播。

　　eEye数字安全公司的首席技术官Marc Maiffret在其公司的博客中写道，Morto蠕虫使他想起了“红色代码(CodeRed)，地狱(Slammer)，震荡波(Sasser)，冲击波(Blaster)”以及其他病毒存在的那个时候。据Maiffret，企业可避免感染，通过直接禁止从互联网上访问RDP，使用强密码，以及改变注册表项从而让RDP使用非标准的网络端口。

　　“人们可能认为在2011年，这种基本的攻击不会带来多大的影响，”Maiffret写道，“但防病毒厂商和SANS似乎都看到了RDP网络流量的增长，而造成这一现象的罪魁祸首最有可能就是Morto蠕虫通过RDP Windows帐户暴力破解(brute-forcing)来感染系统。

　　在TechNet博客中，微软还建议使用强密码，应包括14个以上的字符，并含有各种不同的字母，标点符号，符号和数字。

　　TechTarget中国原创内容，原文链接：http://www.searchsecurity.com.cn/showcontent_52314.htm