Le ver Morto se répand sur Windows via le Remote Desktop
Retour vers le futur
L’actualité sur la sécurité informatique met régulièrement à l’honneur de nouvelles techniques, même si la majorité des nouvelles tentatives dans ce domaine passe par l’ingénierie sociale. Il arrive pourtant que d'anciennes méthodes soient utilisées, telles que les vers. F-Secure avertit justement que l’un d’eux se répand actuellement en utilisant RDP.
RDP, pour Remote Desktop, est un protocole permettant à une machine de se connecter à un serveur utilisant les Terminal Services. Cette technologie est très utilisée entre autres coté Microsoft pour les infrastructures de clients légers puisqu’elle permet de contrôler une machine à distance. Apparue avec Windows NT 4.0, elle utilise par défaut le port TCP 3389 pour communiquer. Et c’est justement sur ce port qu’un pic de données a été détecté.
Le Sans Internet Storm Center indique de son côté avoir détecté un changement de l'activiité sur le port 3389 il y a plusieurs semaines. Mais sur les derniers jours, le trafic a très largement augmenté, provoquant de sérieuses suspicions sur l'implication d'un malware.
L’éditeur F-Secure indique lui aussi avoir repéré un flux inhabituel de communications passant par le port 3389. Il s’agit finalement d’un ver, baptisé Morto, qui a pour objectif d’infecter les machines Windows, aussi bien les clients que les serveurs, RDP s’y trouvant dans tous les cas. Morto commence par les machines clientes reliées à Internet, avant de s'attaquer aux serveurs.
En effet, une fois en place, le ver va scanner le réseau local avec des requêtes RDP pour repérer les serveurs, ce qui génère un flux conséquent de trafic sur le port 3389. C’est d’ailleurs de cette manière que de nombreux utilisateurs et administrateurs ont remarqué que la situation était anormale. Une fois les serveurs détectés, Morto essaye de s’y connecter. Mais il n’y a, a priori, pas de faille à exploiter et le ver tente donc d’exploiter le manque de prévoyance de l’administrateur en se connectant avec le compte « Administrator » et en testant les mots de passe suivants :
La présence de Morto peut être diagnostiquée via la présence de certains fichiers particuliers. Sur le serveur, il crée ainsi un lecteur réseau A: contenant un fichier unique, « a.dll ». Sur les machines infectées, on trouvera toujours un « sens32.dll » dans le répertoire system32 et un autre, « cache.txt » dans le dossier « offline web pages » du répertoire Windows. F-Secure indique également que Morto peut être piloté à distance via plusieurs serveurs dont « jaifr.com » et « qfsl.net ». Les administrateurs réseaux ont donc tout intérêt à vérifier de près leur infrastructure.
RDP, pour Remote Desktop, est un protocole permettant à une machine de se connecter à un serveur utilisant les Terminal Services. Cette technologie est très utilisée entre autres coté Microsoft pour les infrastructures de clients légers puisqu’elle permet de contrôler une machine à distance. Apparue avec Windows NT 4.0, elle utilise par défaut le port TCP 3389 pour communiquer. Et c’est justement sur ce port qu’un pic de données a été détecté.
Le Sans Internet Storm Center indique de son côté avoir détecté un changement de l'activiité sur le port 3389 il y a plusieurs semaines. Mais sur les derniers jours, le trafic a très largement augmenté, provoquant de sérieuses suspicions sur l'implication d'un malware.
L’éditeur F-Secure indique lui aussi avoir repéré un flux inhabituel de communications passant par le port 3389. Il s’agit finalement d’un ver, baptisé Morto, qui a pour objectif d’infecter les machines Windows, aussi bien les clients que les serveurs, RDP s’y trouvant dans tous les cas. Morto commence par les machines clientes reliées à Internet, avant de s'attaquer aux serveurs.
En effet, une fois en place, le ver va scanner le réseau local avec des requêtes RDP pour repérer les serveurs, ce qui génère un flux conséquent de trafic sur le port 3389. C’est d’ailleurs de cette manière que de nombreux utilisateurs et administrateurs ont remarqué que la situation était anormale. Une fois les serveurs détectés, Morto essaye de s’y connecter. Mais il n’y a, a priori, pas de faille à exploiter et le ver tente donc d’exploiter le manque de prévoyance de l’administrateur en se connectant avec le compte « Administrator » et en testant les mots de passe suivants :
- admin
- password
- server
- test
- user
- pass
- letmein
- 1234qwer
- 1q2w3e
- 1qaz2wsx
- aaa
- abc123
- abcd1234
- admin123
- 111
- 123
- 369
- 1111
- 12345
- 111111
- 123123
- 123321
- 123456
- 654321
- 666666
- 888888
- 1234567
- 12345678
- 123456789
- 1234567890
La présence de Morto peut être diagnostiquée via la présence de certains fichiers particuliers. Sur le serveur, il crée ainsi un lecteur réseau A: contenant un fichier unique, « a.dll ». Sur les machines infectées, on trouvera toujours un « sens32.dll » dans le répertoire system32 et un autre, « cache.txt » dans le dossier « offline web pages » du répertoire Windows. F-Secure indique également que Morto peut être piloté à distance via plusieurs serveurs dont « jaifr.com » et « qfsl.net ». Les administrateurs réseaux ont donc tout intérêt à vérifier de près leur infrastructure.
Source :
F-Secure
Vincent Hermann
le 29 août 2011 à 09:35
(27 098
lectures)
Actualités et brèves relatives
- 16 / 08 / 2011 : Apple met à jour Mac OS X contre le faux Flash Player
- 05 / 08 / 2011 : Rogueware : la société russe ChronoPay derrière MacDefender ?
- 03 / 08 / 2011 : Un malware pour Mac OS X se fait passer pour Flash
- 14 / 06 / 2011 : Les spams reculent et les malwares atteignent des sommets
- 10 / 06 / 2011 : Sophos : un faux site Windows Update qui installe des malwares
- 01 / 06 / 2011 : Apple rend Snow Leopard capable de supprimer Mac Defender
- 26 / 05 / 2011 : Mac Guard, l'autre faux antivirus, sans les droits d'administration
- 25 / 05 / 2011 : Apple fournit une méthode pour se débarrasser de Mac Defender
