F-Secure, famosa azienda finlandese sviluppatrice prodotti antivirus e soluzioni per la sicurezza informatica, ha segnalato di aver rilevato un nuovo malware a cui è stato assegnato il poco felice appellativo di “Morto“. Sebbene il worm non sfrutti alcuna vulnerabilità del sistema operativo e delle applicazioni installate, la nuova minaccia, a dispetto del nome vivacissima, sembra aver già infettato numerosi sistemi.
“Morto” si diffonde attraverso il componente server della funzionalità “Connessione desktop remoto” (“Remote Desktop“) di Windows: il malware, infatti, effettua una scansione su una determinata serie di indirizzi IP cercando eventuali porte RDP (3389) che risultassero aperte. A testimonianza dell’attacco in corso, l’Internet Storm Center di SANS ha immediatamente rilevato un rapido aumento delle scansioni dirette verso la porta di comunicazione 3389 (ved. questa pagina), rivelatesi poi tentativi di aggressioni messi in atto dal worm “Morto“.
Una volta individuato il server di “Connessione desktop remoto” in ascolto sulla porta 3389, il malware tenta di accedervi con le credenziali amministrative utilizzando password piuttosto deboli (l’elenco completo è disponibile sulla scheda pubblicata dai tecnici di Microsoft).
Per attivare un collegamento permanente al sistema violato, “Morto” crea un’unità A: virtuale che viene poi configurata come una condivisione di rete utilizzabile mediante Desktop remoto. La libreria DLL memorizzata all’interno del volume virtuale consente, successivamente, di richiamare il codice dannoso del worm. A questo punto, una volta insediatosi, “Morto” cerca di diffondersi ulteriormente contattando poi alcuni domini attraverso i quali può ricevere nuovi comandi ed aggiornamenti.
Ovviamente, l’unico rimedio per porsi al riparo da qualunque rischio d’infezione, consiste nell’utilizzo di password “forti” che non siano banali né facilmente individuabili sferrando attacchi “brute force” o basati sui termini del dizionario.