Worm verspreidt zich via Remote Desktop Protocol

Een worm gebruikt Microsofts Remote Desktop Protocol om zichzelf te verspreiden. Voor zover bekend gaat het om de eerste worm die dat protocol gebruikt. Volgens Microsoft is de worm in staat om dos-aanvallen te verrichten.

Volgens F-Secure is het de eerste keer dat een worm het Remote Desktop Protocol van Microsoft gebruikt om zichzelf te verspreiden. De malware verspreidde zich niet dankzij een kwetsbaarheid in rdp; de worm  probeert op andere pc’s in te loggen met een lijst van  standaardaccounts en -wachtwoorden als ‘test’, ‘user’, ’1234′ en ‘letmein’. Volgens Microsoft is de worm in staat om denial of service-aanvallen uit te voeren, al is onduidelijk of dat ook daadwerkelijk is gebeurd.

Portscans poort 3389Hoeveel computers zijn geïnfecteerd met de worm, die de naam Morto draagt, is onbekend, maar het Internet Storm Center maakt melding van een grote stijging van het aantal computers dat portscans op poort 3389 uitvoert. Inmiddels lijkt het aantal sources dat rdp-portscans uitvoert fors te verminderen; waarschijnlijk komt dit doordat virusscanners de worm beginnen te detecteren. In ieder geval Microsofts eigen beveiligingssoftware is zo bijgewerkt dat deze het virus kan verwijderen.

Volgens Microsoft zoekt de worm verbinding met een aantal servers, zo blijkt uit een analyse die het bedrijf online heeft gezet. Een deel van die servers lijkt inmiddels offline. Vreemd genoeg behoort het ip-adres van een van de servers waarmee Morto volgens Microsoft contact zoekt toe aan Google. Een ander ip-adres dat zou worden gebruikt eindigt op ’820′, wat een ongeldige cijfercombinatie is.

Is uw computer nog veilig? Neem bij twijfel contact op met onze helpdesk 088 2 33 62 66

0 antwoorden

Plaats een Reactie

Meepraten?
Draag gerust bij!

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *