انتشار گسترده ویروس Morto

هفته گذشته برخی از شرکت‎های امنیتی درباره افزایش قابل توجه فعالیت بر روی درگاه 3389 هشدار داده و مدت زیادی طول نکشید که منابع متعدد، خبر از انتشار گسترده بدافزاری تحت عنوان Morto دادند. این ویروس سیستم‎های Windows را که رمز عبور ضعیف و ساده دارند، از طریق پودمان Remote Desktop Protocol و درگاه 3389 هدف قرار می‎دهد. افزایش تعداد کامپیوترهای آلوده به این ویروس می‎تواند به ترافیک بیش از حد و در نهایت فلج شدن شبکه منجر شود.

ایستگاه‎های کاری و سرویس‎دهنده‎های Windows در برابر ویروس Morto آسیب‎پذیر هستند. حتی برخی گزارشات نشان داده سیستم‏های عاملی نیز که دارای آخرین اصلاحیه‎های مایکروسافت می باشند از گزند این ویروس در امان نیستند.

Morto که به یک بانک اطلاعاتی حاوی کلمه‎های عبور رایج نظیر 123, admin, password و … مجهز است، از راه دور سعی می کند از راه دور به کامپیوتر قربانی وصل شود. چنانچه این ویروس موفق به نفوذ به دستگاهی گردد، می‎تواند حق دسترسی خواندن و نوشتن در مسیرهای  \\tsclient\c و \\tsclient\d را که به ترتیب به دیسک‎های C و D اشاره می‎کنند، به دست آورد. در ادامه، ویروس Morto اقدام به ایجاد شاخه‎ای تحت عنوان A کرده و فایل مخرب a.dll را در آن کپی می‎کند. فایل‎های مخرب دیگری که توسط این ویروس ایجاد می‎شوند، عبارتند از sens32.dll و cache.txt که به ترتیب در مسیرهای windows\system32 و windows\offline web pages ذخیره می‎شوند. سپس ویروس اقدام به شناسایی دستگاه‎های دیگر در شبکه داخلی که درگاه 3389 آنها باز است، کرده و می‎کوشد با امتحان کردن کلمه‎های عبور ساده، به آنها نفوذ کند. همچنین ویروس Morto قابلیت کنترل شدن از راه دور را نیز دارد. در زمان نگارش این خبر، سرویس‎دهنده‎های jaifr.com و qfsl.net کنترل این ویروس را بر عهده دارند.

این ویروس توسط ضدویروس McAfee با نام‎های W32/Morto و W32/Morto.dll شناسایی می‎شود. جزئیات بیشتر در خصوص این بدافزار را می‎توانید در نشانی‎های زیر مطالعه کنید.

http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=573838

http://home.mcafee.com/virusinfo/virusprofile.aspx?key=573843