Новый червь распространяется по протоколу RDP
Специалисты по безопасности сообщают о появлении редкого на сегодняшний день явления – нового сетевого червя. Новый червь получил название Morto. Для распространения он использует протокол Windows RDP (Remote Desktop Protocol).
admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890
После проникновения на систему, Morto использует общедоступные папки \\tsclient\c и копирует себя на удаленную систему. Червь создает временный диск A и копирует на него файл a.dll. После этого, на системе создаются некоторые файлы, например \windows\system32\sens32.dll и \windows\offline web pages\cache.txt.
Червь имеет возможность удаленного управления, для этого используются домены jaifr.com и qfsl.net. Образцы червя, которые попали к специалистам компании F-Secure содержат следующие MD5 хеши:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d
В настоящий момент червь идентифицируется компанией F-Secure как Backdoor:W32/Morto.A и Worm:W32/Morto.B.
www.securitylab.ru