この頃は、インターネットワームを見る事はあまり無い。大部分はボットとトロイの木馬だ。しかし、我々は新たなインターネットワームを発見した。現在拡散中だ。

  同ワームは「Morto」という名で、Windowsワークステーションおよびサーバを感染させる。これは我々がこれまでに見たことのない新たな拡散ベクタ「RDP」を使用している。

  「RDP」はRemote Desktop Protocolの略だ。WindowsはWindows Remote Desktop Connectionを介し、このプロトコルのビルトインサポートを有している。一度コンピュータをリモートで使用可能にすれば、そのマシンにアクセスするのに他のコンピュータを利用することができる。

Morto RDP worm

  同ツールで他のコンピュータに接続する際、ローカルコンピュータを使うように、そのマシンを利用することができる。

Morto RDP worm

  マシンが感染すると、「Morto」ワームはローカルネットワークをスキャンして、Remote Desktop Connectionが可能になっているマシンを探す。これにより、RDPポートであるポート3389/TCPで多くのトラフィックが発生する。

  「Morto」はRemote Desktopサーバを見つけると、管理者としてログインしようとし、一連のパスワードを試みる:

 admin
 password
 server
 test
 user
 pass
 letmein
 1234qwer
 1q2w3e
 1qaz2wsx
 aaa
 abc123
 abcd1234
 admin123
 111
 123
 369
 1111
 12345
 111111
 123123
 123321
 123456
 654321
 666666
 888888
 1234567
 12345678
 123456789
 1234567890


  一度リモートシステムに接続すれば、ドライブC:、D:に対して、\\tsclient\c、\\tsclient\dのようにWindowsシェアを介してサーバのデバイスにアクセスできる。「Monto」はターゲットマシンに自身をコピーするために、この機能を使用する。同ワームは、「A:」のもとに一時ドライブを作成することでこれを行い、それに「a.dll」という名のファイルをコピーする。

  感染により「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などを含むシステム上にいくつかの新しいファイルが作成される。

  「Morto」はリモートでコントロールすることができる。これは「jaifr.com」および「qfsl.net」など、いくつかの代替サーバを介して行われる。

  我々は異なるサンプルをいくつか見ている。いくつかのMD5ハッシュは以下を含む:
0c5728b3c22276719561049653c71b84
14284844b9a5aaa680f6be466d71d95b
58fcbc7c8a5fc89f21393eb4c771131d

  このトピックに関するさらなるディスカッションはTechnetフォーラムで。

  我々は「Morto」コンポーネントを「Backdoor:W32/Morto.A」および「Worm:W32/Morto.B」として検出している。