この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。
同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。
「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを利用することができる。

同ツールで他のコンピュータに接続する際、ローカルコンピュータを使うように、そのマシンを利用することができる。

マシンが感染すると、「Morto」ワームはローカルネットワークをスキャンして、Remote Desktop Connectionが可能になっているマシンを探す。これにより、RDPポートであるポート3389/TCPで多くのトラフィックが発生する。
「Morto」はRemote Desktopサーバを見つけると、管理者としてログインしようとし、一連のパスワードを試みる:
admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890
一度リモートシステムに接続すれば、ドライブC:、D:に対して、\\tsclient\c、\\tsclient\dのようにWindowsシェアを介してサーバのデバイスにアクセスできる。「Monto」はターゲットマシンに自身をコピーするために、この機能を使用する。同ワームは、「A:」のもとに一時ドライブを作成することでこれを行い、それに「a.dll」という名のファイルをコピーする。
感染により「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などを含むシステム上にいくつかの新しいファイルが作成される。
「Morto」はリモートでコントロールすることができる。これは「jaifr.com」および「qfsl.net」など、いくつかの代替サーバを介して行われる。
我々は異なるサンプルをいくつか見ている。いくつかのMD5ハッシュは以下を含む:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d
このトピックに関するさらなるディスカッションはTechnetフォーラムで。
我々は「Morto」コンポーネントを「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出している。
同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。
「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを利用することができる。

同ツールで他のコンピュータに接続する際、ローカルコンピュータを使うように、そのマシンを利用することができる。

マシンが感染すると、「Morto」ワームはローカルネットワークをスキャンして、Remote Desktop Connectionが可能になっているマシンを探す。これにより、RDPポートであるポート3389/TCPで多くのトラフィックが発生する。
「Morto」はRemote Desktopサーバを見つけると、管理者としてログインしようとし、一連のパスワードを試みる:
admin
password
server
test
user
pass
letmein
1234qwer
1q2w3e
1qaz2wsx
aaa
abc123
abcd1234
admin123
111
123
369
1111
12345
111111
123123
123321
123456
654321
666666
888888
1234567
12345678
123456789
1234567890
一度リモートシステムに接続すれば、ドライブC:、D:に対して、\\tsclient\c、\\tsclient\dのようにWindowsシェアを介してサーバのデバイスにアクセスできる。「Monto」はターゲットマシンに自身をコピーするために、この機能を使用する。同ワームは、「A:」のもとに一時ドライブを作成することでこれを行い、それに「a.dll」という名のファイルをコピーする。
感染により「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などを含むシステム上にいくつかの新しいファイルが作成される。
「Morto」はリモートでコントロールすることができる。これは「jaifr.com」および「qfsl.net」など、いくつかの代替サーバを介して行われる。
我々は異なるサンプルをいくつか見ている。いくつかのMD5ハッシュは以下を含む:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d
このトピックに関するさらなるディスカッションはTechnetフォーラムで。
我々は「Morto」コンポーネントを「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出している。