Los investigadores de seguridad de F-Secure advierten a los usuarios sobre un nuevo gusano informático que intenta forzar las conexiones del Protocolo de Escritorio Remoto (RDP).
RDP fue desarrollado por Microsoft para permitir la administración remota de los ordenadores a través de una interfaz gráfica. La tecnología está presente, con limitaciones en algunos casos, en todas las versiones admitidas de Windows.
De acuerdo con los investigadores de F-Secure, una vez que un ordenador sea infectado, el nuevo gusano Morto comienza a buscar máquinas que acepten conexiones en el puerto TCP 3389, predeterminado para RDP.
Cuando se identifican potenciales objetivos, el gusano Morto intenta iniciar una sesión como administrador con una lista de contraseñas codificadas. Esto puede provocar un repunte en el tráfico de RPD en las redes.
Si la autenticación se realiza correctamente, deja sus componentes en el ordenador de destino, incluyendo los archivos %windows%\temp\ntshrui.dll and \windows\offline web pages\cache.txt.
El gusano reporta a un servidor mediante la consulta de varios nombres de dominio predefinidos y direcciones IP desde donde se pueden descargar otros archivos de comando y control.
La funcionalidad principal de Morto es lanzar ataques distribuidos de denegación de servicio (DDoS distribuidos). Además, la aplicación destruye los procesos que contienen determinadas cadenas que coinciden con muchas aplicaciones populares de seguridad.
Según unos análisis realizados por VirusTotal, 19 de los 44 motores antivirus que utilizan actualmente el servicio pueden detectar la amenaza. Se recomienda que los usuarios deshabiliten el RDP de sus ordenadores que no lo necesitan o establecer una contraseña segura para la cuenta Administrador si deciden mantenerla activada.
Algunas personas pueden sospechar inicialmente que el gusano puede explotar una vulnerabilidad RDP que fue parcheada a principios de este mes (MS11-065) pero no es el caso, ya que ese defecto sólo puede resultar en la denegación del servicio y no en la ejecución del código arbitrario.
Sin embargo, los usuarios deben aplicar todas las revisiones de seguridad disponibles para su sistema operativo y deben ejecutar un programa antivirus actualizado en todo momento.
Fuente: http://sub-soul.blogspot.com/
0 comentarios:
Publicar un comentario