X
تبلیغات
رایتل
 
کامپیوتر البرز - کرج
تبادل اطلاعات و اطلاع رسانی کامپیوتر در استان البرز - کرج
                                                                 
نویسندگان
آمار وبلاگ
  • تعداد بازدیدکنندگان: 95257
دوشنبه 21 شهریور 1390 :: 19:18 ::  نویسنده : گروه کامپیوتر البرز

  انتشار یک کرم جدید از طریق برنامه

Windows Remote Desktop

شرکت سازننده آنتی ویروس F-Secure اخطار کرده است که نوعی بدافزار به نام Morto در حال انتشار است که خود را از طریق سرورهای ریموت دسک تاپ ویندوزی منتقل میکند.
این کرم یک آسیب پذیری امنیتی درون ویندوز نیست، بلکه به اسکن آدرس های IP متصل به پورت ۳۳۸۹ (که متعلق به برنامه Remote Desktop Server است) میپردازد. سپس با استفاده از آدرس های پیدا شده و لیست رمزعبورهای متداول درون بانک اطلاعاتی اش، سعی میکند به عنوان کاربر ادمین وارد سرور ویندوزی شود. 

این کرم به طور معمول سرورهای ویندوزی را آلوده میکند که امکان اتصال از راه دور آنها با ریموت دسک تاپ فعال باشد و به صورت مداوم از طریق اینترنت مورد استفاده قرار گیرد. بر روی ویندوزهای معمولی، نرم افزار ریموت دسک تاپ تنها بر روی برخی نسخه های ویژه نصب است و معمولا هم غیر فعال است. در برخی موارد این پورت برای امنیت بیشتر، با استفاده از امکان پورت فورواردینگ درون روتر، تنها برای دسترسی از طریق اینترنت تنظیم شده است. اگر چنین کاری انجام نشده باشد و توسط شما هم انجام نگیرد، آنگاه سرور ویندوزی تان از طریق هر یک از کامپیوترهای آلوده درون شبکه تان قابل دسترسی و آلوده شدن است.

برای نفوذ به یک سیستم پایدار، کرم درایو :A را ایجاد میکند تا بتواند آن را درون شبکه از طریق ریموت دسک تاپ به اشتراک گذاشته و تبدیل به مپ درایو کند. آنگاه فایل a.dll را درون این مپ درایو اشتراکی، ایجاد میکند. حال این فایل باعث آلوده شدن سیستم هدف میگردد. اکنون کرم سعی میکند که روی سیستم هدف فایل های بیشتری از قبیل

\windows\system32\sens32.dll

  \windows\offline web pages\cache.txt

ایجاد کند. 

 اولین باری که نصب بر روی کامپیوتر قربانی جدید به پایان برسد. کرم از طریق آن به دنبال قربانی های تازه ای برای آلوده کردن میگردد. بر اساس گزارش Internet Storm Center، این کرم باعث حجم بسیار عظیم ترافیکی بر روی پورت ریموت دسک تاپ ویندوز شده است.

این بدافزار همچنین قادر است وظایف معمول یک بات نت را هم بر عهده بگیرد. کرم خرابکار ما دارای یک سری از دستورات و دامنه ها است تا بتواند ابزارها و فرمان های جدید را دریافت کند. مایکروسافت هم چندی است که جزئیات آنالیز مورتو را منتشر کرده است. 

اولین نشانه های مورتو در روزهای میانی هفته گذشته مشاهده شده اند. فروم Technet مایکروسافت شاهد گزارش های فراوانی بود که از سیستم های پچ شده ارسال میشد و مبنی بر ترافیک شدیدی روی پورت ۳۳۸۹ بود. در آن مرحله مورتو هنوز توسط هیچ یک از آنتی ویروس های موجود قابل شناسایی و حذف نبود. 

اما هم اکنون میتوانید با محصولات امنیتی مایکروسافت و F-Secure کلک این کرم بدذات را بکنید. البته بقیه شرکت های تولید کننده آنتی ویروس هم در حال به روز کردن بانک اطلاعاتی شان برای مبارزه با مورتو هستند. بهترین راه مقابله با این بات و کرم خطرناک، استفاده از رمزهای عبور سخت و غیر قابل حدس است، تا این کرم نتواند به سیستم نفوذ کند.