image

Windows worm verspreidt zich via Remote Desktop

zondag 28 augustus 2011, 20:59 door Redactie, 17 reacties

Onderzoekers hebben de eerste worm ontdekt die computers infecteert via de Remote Desktop (Extern Bureaublad) functie van Windows. De worm heet Morto, besmet Windows werkstations en servers en verspreidt zich op dit moment via internet. Zodra een machine geïnfecteerd raakt, zoekt Morto naar computers op het lokale netwerk waar de Remote Desktop verbinding is ingeschakeld. "Dit creëert veel verkeer op poort 3389/TCP, wat de RDP poort is", zegt Mikko Hyponnen van het Finse anti-virusbedrijf F-Secure.

Zodra de worm een Remote Desktop server vindt, probeert het via verschillende, veel voorkomende wachtwoorden als Administrator in te loggen. Eenmaal ingelogd kopieert de worm zich via beschikbare Windows shares, zoals \\tsclient\c en \\tsclient\d, naar de harde schijf van de server. Hierbij worden verschillende nieuwe bestanden aangemaakt, waaronder \windows\system32\sens32.dll en\windows\offline web pages\cache.txt

Microsoft
Aanvallers kunnen worm op afstand besturen, wat onder andere via jaifr.com en qfsl.net gebeurt. Er zijn inmiddels verschillende varianten van de worm gesignaleerd. Morto werd donderdag voor het eerst op het Microsoft Technet forum opgemerkt, waarbij verschillende gebruikers over besmette systemen klaagden. Mogelijk is de worm al veel langer actief. Begin augustus waarschuwde het Internet Storm Center voor een stijging van het aantal RDP-scans op poort 3389. Sindsdien is het aantal scans vertienvoudigd.

Microsoft heeft inmiddels een analyse online gezet. Ook wordt de malware sinds vandaag door Microsoft Forefront, Security Essentials en Windows Defender herkend.

Reacties (17)
28-08-2011, 22:42 door Ilja. _V V
een aparte aanvullende pagina over deze worm, sinds vandaag:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.A

Extern bureaublad kan niet verbinden met een computer zonder wachtwoord!

Administrator word, zover ik heb gelezen, als gebruikersnaam ingevoerd. Wie via Lokaal beveiligingsbeleid de naam van de Administrator heeft veranderd, loopt volgens mij (nog) geen besmettingsrisico, op veel verkeer na.
29-08-2011, 05:05 door Anoniem
Maakt niet uit wij hebben er last van en local admin is aangepast.

Onderstaande post net op microsoft gepost

Looks like we fixt it:

The virus/wrm/botnet is running in some stages.

In most active stage we cleaned the virus.
Sens32.dll is the engine in the virus we think.

Stop thet service and disable "system event Notifier" (its using sens32.dll instead of the standerd sens.dll)

Clean the registry:
Delete the complete key and everyting under it (we didn't see it on servers only on xp machines:
HKLM\SYSTEM\CurrentControlSet\Services\6to4


Clean teh keys under not the folders!
HKLM\SYSTEM\WPA\

Change key back to normal:
subkey: HKLM\SYSTEM\CurrentControlSet\Services\Sens\Parameters
Adds value: "ServiceDll"
With data: "<system folder>\sens.dll"

Restart machine:
Delete everyting underneed:
c:\windows\offline web pages\

delete c:\windows\system32\sens32.dll
if you cant delete sens32.dll repeat the steps.

enable and start "system event Notifier" again.

now we need to see if this realy fixt the worm.
we also see some (older) files that points out that this is a botnet used for ddos atacks!!!!
if we look at thhe files it has been activated for use in the botnet 27 aug 2011 but started on the 4th.

microsoft enpoint protection can detected some of it but not all. all virus scanners can't clean it!!!!

this is typed after working a realy long day ;-)
29-08-2011, 05:24 door Black eagle
Naar rot Virus.

Dit veroorzaakt grote ddos activiteiten op meerdere netwerken.
Helaas net zelf mogelijk stop gezet op meerdere machines.
Dit heeft een paar dagen geduurd voordat we het kunnen stoppen.
Er is nog geen echt antwoord.

Afgelope Patch ronde van microsoft is er een TS lek dicht gemaakt.
Dit virus heeft de eerste test rondes gedaan op 4/8/2011.
De zwaardere aanvallen zijn gestart op 26/8/2011

Nu maar hopen dat het bij ons weg blijft.
zie ook http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/31cf740c-818c-4863-8df9-0d9a1d6de6fc
29-08-2011, 07:23 door Anoniem
Geldt dit ook als mensen van buitenaf inloggen via RDP?
29-08-2011, 08:00 door Anoniem
Ik heb een tijd geleden de RDP-poort gewijzigd op de server en routers (niet op de pc's). Hoop dat dat ook helpt.
29-08-2011, 08:42 door Bitwiper
Het zou mij niet verbazen als aanvallers een remote exploit hebben gemaakt voor MS11-065 (KB2570222, http://www.microsoft.com/technet/security/Bulletin/MS11-065.mspx) aangezien het daarin ook uitsluitend om XP en W2k3 zou gaan.

In http://social.technet.microsoft.com/Forums/en-US/winserversecurity/thread/31cf740c-818c-4863-8df9-0d9a1d6de6fc is namelijk sprake is van Administrator wachtwoord "2o9yuWaS02", en dat komt echt niet in het lijstje van F-Secure en Microsoft voor.
29-08-2011, 09:29 door Ilja. _V V
Rest nog niet gelezen, Bitwiper, maar alleen 2K3 & XP gevoelig, alhoewel 7 het door kan geven.

WalhierW nvt.
Checkin KB now...
Hmm... 2de x terecht gewijzigd voor http://www.microsoft.com/technet/security/Bulletin/MS11-065.mspx
29-08-2011, 10:03 door Bitwiper
Door Ilja. _\\//: Rest nog niet gelezen, Bitwiper, maar alleen 2K3 & XP gevoelig, alhoewel 7 het door kan geven.
Elke gecompromitteerde host en/of kwaadwillende gebruiker op je netwerk kan zulke aanvallen uitvoeren.

Ondanks dat firewalls tussen internet en LAN ze beschermden vielen heel veel bedrijfsnetwerken ten prooi aan blaster en nimda doordat een gecompromitteerde PC (notebook) aan het interne netwerk werd gekoppeld. Modernere malware maakt vaak gebruik van verschillende methodes om te verspreiden. Servers zijn een geliefd secundair doel, met een domain admin account ben je ten slotte heer en meester.
29-08-2011, 10:31 door Black eagle
het virus maakt gebruik van de lek die is gedicht is op 9/8/2011.
Dit virus/worm/botnet was al eerder actief ik heb infectie datums terug gezien van 2/8/2011 op systemen.

Dit is mogelijk op ALLE rdp servers.

Andere poort helpt tegen een paar van de manieren.
Ook een manier van infectie is als een geinfecteerde host een connectie maakt met de TS server, maar ook andersom. dus een schone client die met een geinfecteerde TS server connect.
29-08-2011, 10:56 door Ilja. _V V
Door Black eagle: Dit virus/worm/botnet was al eerder actief ik heb infectie datums terug gezien van 2/8/2011 op systemen.
Ook een manier van infectie is als een geinfecteerde host een connectie maakt met de TS server, maar ook andersom. dus een schone client die met een geinfecteerde TS server connect.
Thank You Black Eagle; TS server indicates a severe problem indeed. To confirm: Date code: day/month/year.
29-08-2011, 10:59 door Bitwiper
Door Black eagle: het virus maakt gebruik van de lek die is gedicht is op 9/8/2011.
Heb je een bron voor die informatie, naast je eigen bevindingen?
29-08-2011, 11:31 door Anoniem
Dus als ik het goed begrijp probeert een geinfecteerde machine een rdp sessie op de default poort op te zetten met alle machines binnen het subnet. Wanneer deze hierin slaagt zal de machine proberen in te loggen met de user administrator en de volgende lijst met wachtwoorden:
*1234
0
111
123
369
1111
12345
111111
123123
123321
123456
168168
520520
654321
666666
888888
1234567
12345678
123456789
1234567890
!@#$%^
%u%
%u%12
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin
admin123
letmein
pass
password
server
test
user

Correct?

In dat geval is er voor een admin die een strength password policy voert geen enkele dreiging.
29-08-2011, 12:43 door Anoniem
Ik zet extern bureaublad altijd uit bij mensen. Zit als tabje in het icoon 'systeem' (naast het tabje waar je DEP voor altijd aan kan zetten). Heb het nooit gemist!

Over de telefoon kan ik vaak wel problemen oplossen en anders ga ik gewoon langs bij die kennissen, zo vaak gebeurt het immers niet dat ze me nodig hebben. En zo zie je ze ook weer eens een keertje :-)

Bovendien word ik heel zenuwachtig van het idee dat mensen op afstand mijn computer kunnen besturen.
Verder heb ik ook geen wachtwoord op Windows Vista; begrijp van Ilja (22:42) dat dat hier een voordeel is (elk wachtwoord van 8 tekens kan toch gebroken worden door iemand met fysieke toegang tot mijn pc, of gereset met een locksmith tooltje).
Bovendien staat de computer altijd uit als ik van huis ga. Bij onweer zoals de afgelopen dagen ook met de stekkers uit het stopcontact.
29-08-2011, 12:57 door Black eagle
day/month/year
2 Aug 2011

Ik heb het alleen momenteel uit eigen (met meerdere onderzocht) bevindingen.
Tevens is de beschrijving van het artikel er ook duidelijk in "may be abused for DDOS"
Het is nog niet bevestigd via andere 'officiele; kanalen.
29-08-2011, 14:33 door Anoniem
ooit gehoord van een bufferoveflow?
29-08-2011, 14:56 door Anoniem
grappig dat Hyponen dit vertelt, want zijn eigen F-secure detecteert hem nog steeds niet anno 29-08-2011 0900u.
29-08-2011, 17:33 door Bitwiper
Door Anoniem: ooit gehoord van een bufferoveflow?
Waarop baseer je dat het om een buffer overflow zou gaan? Ik sluit dat overigens niet uit, het zou best om een andere kwetsbaarheid dan MS11-065 kunnen gaan. Heb je meer gegevens?

Uit http://www.microsoft.com/technet/security/bulletin/ms11-065.mspx:
What causes the vulnerability?
The vulnerability is caused when the Remote Desktop Protocol processes a sequence of specially crafted packets, resulting in the access of an object in memory that has not been properly initialized or has been deleted.
en uit http://www.microsoft.com/technet/security/bulletin/ms11-aug.mspx:
Bulletin ID: MS11-065
Vulnerability Title: Remote Desktop Protocol Vulnerability
CVE ID: CVE-2011-1968
Code Execution Exploitability Assessment for Latest Software Release: Not affected
Code Execution Exploitability Assessment for Older Software Releases: Functioning exploit code unlikely
Denial of Service Exploitability Assessment: Permanent
Key Notes:
- Limited, targeted attacks are being reported for this vulnerability
- This is a denial of service vulnerability

@Black Eagle: dank voor jouw antwoorden en onderzoek!

@Anoniem van 15:46: Hyponen is z'n lekke ActiveX aan het fixen denk ik... (zie http://www.heise.de/security/meldung/Gefahr-durch-ActiveX-Komponente-von-F-Secure-1331489.html)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.