F-Secure entdeckt neuen Internetwurm [Quelle: siehe Bildergalerie]
Ist ein Rechner mit Morto infiziert, überwacht der Wurm dort Prozesse, die im Zusammenhang mit Sicherheits-Software stehen, und terminiert diese zum Teil. Zudem versucht der Schädling, eine Verbindung mit ss.qfsl.net, test.qfsl.net:1031 und 74.125.71.104:80 aufzubauen. Vermutlich um einen Bericht zu senden, auf Befehle zu warten oder Updates zu empfangen. Zur Weiterverbreitung startet der Wurm den Scan des lokalen Netzwerks nach Rechnern, bei denen die Remote Desktop Verbindung aktiviert ist. Findet Morto einen solchen Remote-Desktop-Server, versucht er sich mit sehr schwachen Passwörtern wie beispielsweise "admin", "12345" oder "test" als Administrator anzumelden. Über die Funktionen des Remote Desktop Protocol kann sich der Schädling auch dort einnisten und das Spiel beginnt von vorne.
Die eigentliche Absicht hinter diesem Angriff ist noch unklar. Über die oben genannten Verbindungen nach Hause könnten die infizierten Maschinen in jedem Fall als Botnetz eingesetzt und beispielsweise für sogenannte Distributed Denial of Service Attacken (DDoS) missbraucht werden, um bestimmte Webangebote lahm zu legen. Morto-Komponenten werden als Backdoor:W32/Morto.A und Worm:W32/Morto.B erkannt.
Quelle:
F-Secure
News, Tests und Downloads zu Sicherheits-Software finden Sie auf der
Sicherheits-Übersichtsseite von PC Games Hardware Online.
Software-Overclocker
08.09.2011 16:27
Könnte man nicht, solange sich die kontaktierten Adressen nicht ändern, einfach die o.g. Einträge über die hosts File in Windows blocken bzw auf localhost (127.0.0.1) verweisen lassen?
PC-Selbstbauer
06.09.2011 01:18
Richtig! Gibt es was neues liebe PCGH?
Freizeitschrauber
02.09.2011 23:23
Dann liegt es wohl daran das ich Win7 Ultimate nutze.