انتشار گسترده ویروس Morto
هفته گذشته برخی از شرکتهای امنیتی درباره افزایش قابل توجه فعالیت بر روی درگاه 3389 هشدار داده و مدت زیادی طول نکشید که منابع متعدد، خبر از انتشار گسترده بدافزاری تحت عنوان Morto دادند. این ویروس سیستمهای Windows را که رمز عبور ضعیف و ساده دارند، از طریق پودمان Remote Desktop Protocol و درگاه 3389 هدف قرار میدهد. افزایش تعداد کامپیوترهای آلوده به این ویروس میتواند به ترافیک بیش از حد و در نهایت فلج شدن شبکه منجر شود.
ایستگاههای کاری و سرویسدهندههای Windows در برابر ویروس Morto آسیبپذیر هستند. حتی برخی گزارشات نشان داده سیستمهای عاملی نیز که دارای آخرین اصلاحیههای مایکروسافت می باشند از گزند این ویروس در امان نیستند.
Morto که به یک بانک اطلاعاتی حاوی کلمههای عبور رایج نظیر 123, admin, password و … مجهز است، از راه دور سعی می کند از راه دور به کامپیوتر قربانی وصل شود. چنانچه این ویروس موفق به نفوذ به دستگاهی گردد، میتواند حق دسترسی خواندن و نوشتن در مسیرهای \\tsclient\c و \\tsclient\d را که به ترتیب به دیسکهای C و D اشاره میکنند، به دست آورد. در ادامه، ویروس Morto اقدام به ایجاد شاخهای تحت عنوان A کرده و فایل مخرب a.dll را در آن کپی میکند. فایلهای مخرب دیگری که توسط این ویروس ایجاد میشوند، عبارتند از sens32.dll و cache.txt که به ترتیب در مسیرهای windows\system32 و windows\offline web pages ذخیره میشوند. سپس ویروس اقدام به شناسایی دستگاههای دیگر در شبکه داخلی که درگاه 3389 آنها باز است، کرده و میکوشد با امتحان کردن کلمههای عبور ساده، به آنها نفوذ کند. همچنین ویروس Morto قابلیت کنترل شدن از راه دور را نیز دارد. در زمان نگارش این خبر، سرویسدهندههای jaifr.com و qfsl.net کنترل این ویروس را بر عهده دارند.
این ویروس توسط ضدویروس McAfee با نامهای W32/Morto و W32/Morto.dll شناسایی میشود. جزئیات بیشتر در خصوص این بدافزار را میتوانید در نشانیهای زیر مطالعه کنید.
http://home.mcafee.com/VirusInfo/VirusProfile.aspx?key=573838
http://home.mcafee.com/virusinfo/virusprofile.aspx?key=573843