Internetmaskar tillhör inte längre den vanligaste formen av skadlig kod på nätet. Men nu har forskare på it-säkerhetsföretaget F-Secure ändå upptäckt en ny variant, som dessutom har en lite ovanlig spridningsmekanism.
Morto, som Windows-masken kallas, sprider sig nämligen till arbetsstationer och servrar genom att utnyttja rdp-protokollet. Akronymen står för remote desktop protocol och utgör den anslutande länken i fjärrskrivbordsfunktionen.
Masken uppges ha orsakat en kraftig ökning av datatrafik mot port 3389, som rdp-använder. När masken hittar en dator som svarar på porten försöker den logga in som administratör genom att testa en serie lösenord.
Lösenordslistan den använder sig av bygger på det statistiskt vanligaste lösenorden enligt tidigare it-säkerhetsrapporter. Några exempel är admin, password, server, test, user, pass och letmein.
Även sifferkombinationer som 111,123, 12345, 123123, 123456 och liknande testas av masken.
Lyckas inloggningen ser Morto till att installera sig och skapa ett antal *.dll-filer. Därefter är den enligt it-säkerhetsföretaget redo att ta emot instruktioner från fjärrservrar på nätet, inklusive servrar från domänerna jaifr.com och qfsl.net.
