A Morto.E féreg - hasonlóan, ahogy a korábbi variánsai is - az RDP (Remote Desktop Protocol) protokollt igyekszik felhasználni a terjedéséhez. A számítógépekhez a 3389-es porton keresztül próbál csatlakozni, és egy gyakori felhasználóneveket és jelszavakat tartalmazó lista alapján kísérel meg azokhoz hozzáférni. Amennyiben ez sikerül számára, akkor a fájljait felmásolja az adott számítógépre.
Az Isidor Biztonsági Központ jelentése kitér arra, hogy a Morto.E képes az általa megfertőzött számítógépek védelmének további meggyengítésére. Ezt elsősorban azzal éri el, hogy megpróbálja leállítani a biztonsági szoftverekhez tartozó folyamatokat. Azért is teszi mindezt, mivel a legfontosabb tevékenységének elvégzéséhez el kell érnie, hogy az internethez szabadon hozzáférhessen. A féreg végső célja ugyanis az, hogy elosztott szolgáltatásmegtagadási támadásokban vegyen részt.
Amikor a Morto.E féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. Létrehozza a következő állományokat:
%windir%/clb.dll
%windir%/offline web pages/cache.txt
2. Feldolgozza a regisztrációs adatbázis HKLM/SYSTEM/WPA/md kulcsában szereplő értékeket, amennyiben ilyen kulcs már létezik.
3. Létrehoz egy véletlenszerű névvel ellátott windows-os szolgáltatást.
4. Megpróbál további számítógépekhez kapcsolódni a 3389-es (RDP) porton keresztül.
5. RDP-n keresztül megpróbálja a saját állományait további rendszerekre feljuttatni. A számítógépekhez egy felhasználónév/jelszó lista alapján próbál hozzáférni.
6. Interneten keresztül távoli kiszolgálókhoz csatlakozik, amelyekről fájlokat tölt le. Ezeket az alábbi nevekkel menti le:
[véletlenszerű karakterek]~MTMP[...].exe
[véletlenszerű karakterek]~MTMP%X.exe
7. Szolgáltatásmegtagadási támadást kezdeményez a terjesztői által meghatározott rendszerek ellen.
8. Biztonsági alkalmazásokhoz tartozó folyamatokat próbál leállítani.
9. Kitörli a Windows által gyűjtött naplóbejegyzéseket.
0 hozzászólás
Ehhez a cikkhez még nem érkezett hozzászólás.