'Morto', novo vírus de Windows, usa senhas fracas para se espalhar.
Worm usa exemplos como "123456" em tentativas de invasão; Microsoft suspeita que objetivo seja espalhar ataques de negação de serviço.
Um novo worm (vírus que se autorreplica) está conseguindo atravessar redes de empresas ao tirar vantagem de senhas fracas, alertam pesquisadores de segurança.
O worm, apelidado de “Morto” pela Microsoft e pela empresa finlandesa de segurança F-Secure, tem circulado desde pelo menos a última semana, quando os administradores de empresas perceberam que os sistemas estavam gerando grandes números de conexões com a Internet sem explicação.
De acordo com a fabricante do Windows, o Morto é o culpado por isso. “Apesar de o número geral de computadores informando detecções ser pequeno em comparação a famílias de malware mais estabelecidas, o tráfego que ele (Morto) gera é perceptível”, disse o pesquisador do Microsoft Malware Protection Center (MMPC), Hil Gradascevic, em um post no domingo, 28/8.
O Morto se espalha usando o protocolo RDP (Remote Desktop Protocol), criado pela própria Microsoft para controlar um computador remotamente.
Todas as versões do Windows a partir do XP incluem um software cliente que usa o RDP para acessar remotamente outras máquinas. O programa, chamado de Remote Desktop Connection (RDC) no XP, no Vista e no Windows 7, exige um nome de usuário e uma senha para logar em um sistema remoto.
Os computadores Windows infectados com o Morto fazem uma verificação na rede local em busca de outras máquinas que tenham o RDC habilitado, então tentam fazer login para um servidor Remote Desktop usando uma lista pré-configurada de senhas comuns, afirma a F-Secure. Se uma das senhas funcionar, o worm então baixa componentes adicionais de malware para o servidor recém-atacado e acaba com o software de segurança para continuar escondido.
A busca por alvos potenciais gerou tráfego significativo na porta 3389 TCP, que monitora o Remote Desktop por pedidos de acesso.
Esse tráfego chamou a atenção de administradores de rede na última quinta-feira.
“A cada 10 minutos, ou algo assim, aparecia uma inundação de tentativas de conexão TCP 3389 para endereços de IP aparentemente aleatórios”, informou um usuário identificado como “BarrySDCA” em uma mensagem postada na sexta-feira em um fórum da Microsoft. “Nosso firewall está impedindo que consiga e ele continua tentando.”
Até o fechamento desta reportagem, o tópico em questão tinha cerca de 70 mensagens e tinha sido visto quase 6 mil vezes, ambos números altos para uma discussão que começou há apenas alguns dias.
Análises feitas pela Microsoft e pela F-Secure identificaram a lista de senhas fracas que o worm tenta usar, que inclui exemplos fáceis demais como “password”, “123456” e “abc123”.
Fonte IdgNow
“Esse worm em particular destaca a importância de se configurar senhas fortes”, afirmou Gradascevic, da Microsoft. “A habilidade dos invasores de explorarem senhas fracas não deve ser subestimada.”
O propósito do Morto talvez seja lançar ataques de negação de serviço (DDoS) contra alvos designados por hackers, afirmou a Microsoft em seu blog.
Apesar de a Microsoft ter liberado um patch para o RDP há apenas três semanas como parte da atualização mensal de segurança de agosto, o Morto não explora essa vulnerabilidade, ou qualquer outra no protocolo.