ニュース
» 2011年08月29日 11時37分 UPDATE

RDPを悪用してWindowsマシンに感染するワーム「Morto」が発生

Mortoは感染した端末のローカルネットワークでリモートデスクトップ接続できる端末を探し、ログインに成功すると自らを複製していく。

[佐藤由紀子,ITmedia]

 セキュリティ企業のF-Secureは8月28日(現地時間)のブログで、リモートデスクトッププロトコル(RDP)を悪用してWindowsの端末やサーバに感染するワーム「Morto」が見つかったと伝えた。

 Windowsは「リモートデスクトップ接続」というソフトウェアでこのプロトコルをサポートしている。Windowsユーザーはこのソフトを利用して、リモートからWindowsマシンにアクセスできる。

 rdp

 端末がMortoに感染すると、Mortoがローカルネットワーク内でリモートデスクトップ接続が可能な端末を探す。これにより、RDPポートであるTCPポート「3389」に大量のトラフィックが発生する。Mortoはリモートデスクトップサーバを見つけると、管理者としてログインしようと「admin」「server」などの一連のパスワードを入力する。ログインに成功するとMortoは標的の端末に自らを複製する。この感染で、端末のシステムに「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などのファイルが作成される。

 米Microsoftは同日、Malware Protection Centerでこのワームを「Worm:Win32/Morto.A」とし、対策として最新の定義ファイルのダウンロードを推奨している。

変更履歴:本文中、ポート番号を「3390」としておりましたが、正しくは「3389」でした。お詫びして訂正いたします。[2011/08/29 19:50]

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -