Эксперты из компании F-Secure предупреждают о новом сетевом черве, который пытается распространяться по протоколу RDP, используя brute force.

Протокол RDP был разработан компанией Microsoft для удалённого администрирования компьютеров с использованием графического интерфейса. Эта технология присутствует с некоторыми ограничениями во всех поддерживаемых на данный момент версиях Windows.

Согласно информации от исследователей из F-Secure, после заражения компьютера новый червь, названный Morto, начинает сканирование сети в поисках компьютеров, принимающих соединения на порт 3389/TCP, который по умолчанию является портом RDP. Когда потенциальные компьютеры-жертвы установлены, червь пытается войти в их систему с правами администратора, используя список жёстко запрограммированных паролей. Это может вызвать скачок в RDP-траффике. Если червю удаётся войти в систему, Morto загружает свои компоненты, включая файлы "%windows%\temp\ntshrui.dll" и "%windows%\offline web pages\cache.txt", на компьютеры-жертвы. Затем червь докладывает о проделанной работе на командный сервер, используя список доменных имён и IP-адресов, с которых он в дальнейшем может загрузить остальные файлы.

Основной функцией Morto является запуск DDoS-атак. Он также убивает процессы, имена которых соответствуют популярным приложениям для защиты компьютера.

Согласно данным VirusTotal, на данный момент 19 из 44 антивирусных движков, используемых сервисом, могут обнаружить эту угрозу. Пользователям рекомендуется отключить RDP на компьютерах, где он не используется, и установить надёжный пароль для учётной записи администратора.