Wurm verbreitet sich über Remote-Desktop-Funktion von Windows
Der Schädling Morto verbreitet sich nicht durch eine Sicherheitslücke. Er probiert schlicht eine Reihe häufig genutzter Passwörter über die Fernwartungsfunktion Remote Desktop durch – und scheint damit durchaus erfolgreich zu sein.
- Ronald Eikenberg
Der AV-Hersteller F-Secure warnt vor dem Schädling Morto, der sich über die Remote-Desktop-Server (RDP-Server) von Windows verbreitet. Der Wurm nutzt keine Sicherheitslücken in Windows aus. Er scannt IP-Adressbereiche nach dem RDP-Port 3389 und probiert bei den antwortenden Rechnern einen Login als Administrator mit einer Liste häufig genutzter Passwörter.
Der Wurm befällt vor allem Windows-Server, da hier RDP häufig zwecks Fernwartung aktiv und über das Internet erreichbar ist. Bei den Heimanwender-Versionen von Windows ist der RDP-Server nur in den höherpreisigen Versionen enthalten (bei 7 ab Professional) und muss zudem von Hand aktiviert werden. Außerdem ist der Port in diesem Fall nur von außen erreichbar, wenn im Router explizit ein Port-Forwarding eingerichtet wurde. Ist dies nicht der Fall, können die Zugriffe nur von anderen infizierten Rechnern im Heimnetz erfolgen.
Um sich dauerhaft im System einzunisten, legt der Wurm anschließend ein Laufwerk A:\ an, das über RDP wie eine Netzwerkfreigabe angesprochen werden kann. Auf der Freigabe platziert er schließlich die Datei a.dll, die sich um die weitere Infektion kümmert. Im weiteren Infektionsverlauf legt Morto unter anderem die Dateien \windows\system32\sens32.dll und \windows\offline web pages\cache.txt an.
Auf dem infizierten Rechner kümmert sich der Wurm um seine Verbreitung, wodurch unter anderem das Internet Storm Center einen massiven Anstieg des Traffics auf dem RDP-Port beobachten konnte. Zudem bringt der Schädling typische Bot-Funktionen mit. Er kontaktiert eine Reihe von Domains, um sich dort neue Befehle und Komponenten abzuholen. Eine detaillierte Analyse von Morto hat Microsoft veröffentlicht.
Erstmals aufgefallen ist der Wurm Mitte vergangener Woche. In Microsoft Technet-Foren häuften sich Berichte von vollständig gepatchten Systemen, die für ungewöhnlich hohen Traffic auf Port 3389 sorgten. Zu diesem Zeitpunkt wurde Morto noch von keinem Virenscanner erkannt.
Inzwischen wird Morto von den Scannern von Micosoft und F-Secure erkannt; die anderen großen AV-Hersteller dürften mitgezogen sein. Um zu verhindern, dass sich der Bot überhaupt erst am System anmeldet, sollte man via RDP erreichbare Rechner mit schwer zu erratenden Passwörtern schützen. (rei)
