Advarer mot ny Windows-orm

Benytter svært uvanlig angrepsvektor.

Microsoft advarer om spredningen av en ny Internett-orm, som kalles for Morto (Worm:Win32/Morto.A). Dette er litt oppsiktsvekkende.

Ikke bare hører det for tiden til sjeldenhetene at det dukker opp nye Internett-ormer. Men Morto benytter en angrepsvektor som anses som for å være svært uvanlig, nemlig Windows Remote Desktop Protocol (RDP).

Ormen kan ha dukket opp allerede i midten av august. Da begynte nemlig Internet Storm Center å registrere en kraftig økning i antallet maskiner som var kilde til trafikk via porten 3389, som benyttes av nettopp RDP. Dette tyder på at relativt mange systemer har blitt infisert.

Antallet registrerte maskiner som har benyttet port 3389 per dag ifølge Internet Storm Center.
Antallet registrerte maskiner som har benyttet port 3389 per dag ifølge Internet Storm Center. Bilde: Internet Storm Center

Selve ormen ser først ut til å ha blitt identifisert ganske nylig – Microsoft oppgir den 27. august som dato.

Ormen spres ved å utnytte at mange fortsatt bruker passord som er svært enkle å gjette, selv i forbindelse med Administrator-kontoen. Når den først har infisert en pc, vil den forsøke å få tilgang til maskinene i blant annet det samme lokalnettet ved å forsøke å logge på med et passord hentet fra en relativt kort liste med mye brukte passord - for eksempel «password».

Nå som ormen er kjent, vil de fleste antivirusløsninger kunne stoppe den. For de aller fleste vil ormen trolig ikke føre til annet enn en økning i trafikken i nettverket – forutsatt at man ikke benytter et administratorpassord som finnes på den aktuelle listen.

Men ormen skal også utstyre de infiserte systemene med en bakdør, noe som gjør at det infiserte systemet potensielt kan fjernstyres. Microsoft oppgir at Morto kan beordres til å utføre tjenestenektangrep mot mål som utpekes av angriperen.

Flere som har opplevd angrep, diskuterer tilfellene her.

Til toppen