Xakep #305. Многошаговые SQL-инъекции
Мир безопасности внезапно вернулся в прошлое с интернет-червем, названным "Morto",
распространяющимся через Windows Remote Desktop Protocol (RDP).
F-Secure
сообщает, что червь является причиной резкого роста трафика на порт 3389.
Попадая в сеть, червь начинает искать компьютеры с запущенной службой RDP и
распространенными паролями для входа. В уязвимых компьютерах Morto копируется на
локальные диски как DLL-файл, который создает другие файлы.
Исследовательская сеть SANS, которая зафиксировала резкий рост RDP-трафика на
протяжении минувших выходных, сообщает, что значительное увеличение трафика
является "ключевым индикатором" растущего количества инфицированных хостов.
Уязвимы как серверы Windows, так и рабочие станции.
SANS в настоящее время анализирует код червя. Поскольку черви стали чем-то
вроде анахронизма в эпоху атак с использованием ботнетов, ориентированных на
получение прибыли, возможно, данный анализ будет включать ответ на вопрос "зачем
это понадобилось?".
Первое увеличение объемов трафика обсуждалось SANS в начале августа, но с тех
пор, как сообщает группа, этот показатель увеличился в 10 раз.