In einem Blogeintrag warnen Microsoft und F-Secure vor einem neuen Wurm, der sich über Windows Remote Desktop verbreitet. Den Sicherheitsforschern zufolge befällt "Morto" vor allem Windows Server. Das Besondere ist dabei: Er nutzt keine Sicherheitslücken in Windows zur Verbreitung aus, sondern das Remote Desktop Protokoll (RDP).

Schwachstelle Passwort

Dabei sucht "Morto" im Netzwerk-Rechner über RDP nach einfachen Standardpasswörtern. Anschließend meldet er sich als Admin an und probiert weitere Passwörter durch. Die Liste der unsicheren Passwörter ist nicht besonders lang, was dem Wurm Morto den Zugang erleichtert. Dazu gehören beliebte Zahlenreihen wie 1111, 55555 oder 1234. Auch einfache Worte wie user, letmein, password oder admin sollten vermieden werden. 

Windows-Server besonders anfällig

Windows-Server sind besonders anfällig, da RDP zur Fernwartung genutzt wird und über das Web erreichbar ist. Bei Heim-Versionen von Windows ist die Remote Desktop Funktion in den teureren Versionen enthalten, bei Windows 7 ab Professional. Wie heise berichtet, legt der Wurm ein Laufwerk "A:\" an, das via RDP wie eine Netzwerkfreigabe angesprochen wird, um sich dauerhaft einzunisten. Dort platziert er die Datei "a.dll", im Zuge der weiteren Infektion werden die Dateien "windows\system32\sens32.dll" und "\windows\offline web pages\cache.txt" angelegt. 

Erhöhter Traffic auf dem RDP-Port

Das Internet Storm Center hat einen erhöhten Traffic auf dem RDP-Port beobachtet. Der Schädling bringt außerdem typische Bot-Funktionen mit und kontaktiert zahlreiche Domains für Befehle und Komponenten. Microsoft hat eine umfassende Analyse zum "Worm:Win32/Morto.A" veröffentlicht. Morto, der vergangene Woche erstmals gesichtet wurde, löste Diskussionen in Technet-Foren über vollständig gepatchte Systeme aus. Diese führten zu einem auffälligen Traffic auf dem Port 3389. Damit sich der Bot erst gar nicht am System anmeldet, sollten Nutzer die Passwortsicherheit auf ihren via RDP erreichbaren Rechnern erhöhen. (ez)