image

"Remote Desktop-worm infecteert alleen imbecielen"

donderdag 1 september 2011, 09:26 door Redactie, 8 reacties

De Morto-worm die zich via de Remote Desktop-functie van Windows verspreidt, infecteert alleen imbecielen. Dat zegt Andrew Brandt van beveiligingsbedrijf Webroot. De worm maakt verbinding met Remote Desktops die het kan vinden en probeert vervolgens via een lijstje van algemene wachtwoorden in te loggen. Brandt analyseerde de worm en stelt dat ondanks alle technische analyses, ze niet het echte probleem blootleggen waardoor een gebruiker geïnfecteerd raakt.

"De worm was geschreven om computers te infecteren van mensen die security niet serieus nemen", aldus Brandt. Hij merkt op dat de worm hiervoor een lijst gebruikt die uit "imbeciele wachtwoorden" bestaat.

Muis
Eenmaal actief zal de worm als eerste merkbare daad de ingelogde gebruiker uitloggen. Vervolgens probeert Morto op alle computers in de buurt in te loggen en elke zestien seconden een payload van 54496 bytes downloaden. "De downloads en meerdere RDP inlogpogingen, zeker als ze succesvol zijn, kunnen een netwerk met wormverkeer overweldigen als de worm zich probeert te verspreiden", laat de analist weten.

Verder wijzigt de worm ook de werking van de linkermuisknop, waarbij het voortaan de eigenschappen van een map of bestand laat zien. Brandt merkt op dat virusscanners de worm inmiddels herkennen, maar dat de software gebruikers niet kan verplichten om sterke wachtwoorden te zien.

Reacties (8)
01-09-2011, 10:42 door DanielG
eens
01-09-2011, 11:52 door Ilja. _V V
Waarmee????
Door DanielG: eens
"Eenmaal actief zal de worm als eerste merkbare daad de ingelogde gebruiker uitloggen"

nie eens ingelogd (t) (of dt)

Ilja. _\\//
01-09-2011, 12:32 door Anoniem
Helemaal mee eens.

Dat wachtwoordenlijstje ging echt helemaal nergens over.
01-09-2011, 13:39 door MartiniiB
Door Ilja. _\\//: Waarmee????
Door DanielG: eens
"Eenmaal actief zal de worm als eerste merkbare daad de ingelogde gebruiker uitloggen"

nie eens ingelogd (t) (of dt)

Ilja. _\\//


Dat je een retard bent als je geinfecteerd raakt hierdoor. Learn2Read.
01-09-2011, 19:59 door Anoniem
wat hier beweerd wordt is helaas niet correct.
Het is namelijk zo dat als je inlogt op bijvoorbeeld een TS welke geïnfecteerd is het virus zich simpel weg over kopieert.
Dus dat betekend dat dus ook mensen met zeer sterke wachtwoorden kunnen worden geïnfecteerd.
01-09-2011, 20:03 door Anoniem
Maar al heb je een goed wachtwoord die aanvallen zijn wel schijt iritant, meeste aanvallen duurden maar een kwartiertje maar had er pas een die ruim een uur bezig was, wel evenveel pogingen enzo, en deze aanval had een merkbare impact op het systeem.
01-09-2011, 21:18 door lucb1e
Ik snap niet dat dit überhaupt in het nieuws komt. Zoals ik op een andere site al zei erover: "Het is alsof je geen wachtwoord op je admin account hebt, en vervolgens staat in het nieuws dat 'windows computers gehacked worden door een worm die het login systeem misbruikt'."
02-09-2011, 00:09 door wim-bart
Door Ilja. _\\//: Waarmee????
Door DanielG: eens
"Eenmaal actief zal de worm als eerste merkbare daad de ingelogde gebruiker uitloggen"

[sarcasme modus]
Goh, wat een knappe worm
[/sarcasme modus]

De worm laat een actieve gebruiker niet uitloggen maar dat is standaard gedrag van Terminal Services onder Windows, ben je aangemeld, dan zal de sessie over worden genomen door de RDP sessie. Standaard gedrag. Het was knap geweest dat iemand aangemeld is en dat de worm de sessie over nam in "shadow" modus via RDP :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.