© kovaleff - Fotolia.com
Ein neuer Wurm mit der Bezeichnung Morto verbreitet sich über die Remotedesktopverbindung von Windows.
Nach der Infizierung beginnt der Morto Wurm nach weiteren Rechnern mit einer aktiven Remotedesktopverbindung (Port 3389) zu scannen. Sobald er so ein System findet versuch er sich auf diesem als Administrator einzuloggen wozu folgende Passwörter benutzt werden:
*1234, 0, 111, 123, 369, 1111, 12345, 111111, 123123, 123321, 123456, 168168, 520520, 654321, 666666, 888888, 1234567, 12345678, 123456789, 1234567890, !@#$%^, %u%, %u%12, 1234qwer, 1q2w3e, 1qaz2wsx, aaa, abc123, abcd1234, admin, admin123, letmein, pass, password, server, test, user
Nach dem erfolgreichem einloggen in ein System werden einige Einträge der Registry modifiziert und folgende Dateien durch den Computerwurm erzeugt:
%windows%\temp\ntshrui.dll
<system folder>\sens32.dll
c:\windows\offline web pages\cache.txt
Zusätzlich wird eine Verbindung mit folgenden Hosts aufgenommen um Updates nachzuladen:
210.3.38.820, 74.125.71.104, jifr.info, jifr.co.cc, jifr.co.be, qfsl.net, qfsl.co.cc, qfsl.co.be
Weitere Infos zum Morto Wurm:
– Microsoft Malware Encyclopedia
– F-Secure
