セキュリティ企業のF-Secureは8月28日(現地時間)のブログで、リモートデスクトッププロトコル(RDP)を悪用してWindowsの端末やサーバに感染するワーム「Morto」が見つかったと伝えた。
Windowsは「リモートデスクトップ接続」というソフトウェアでこのプロトコルをサポートしている。Windowsユーザーはこのソフトを利用して、リモートからWindowsマシンにアクセスできる。
端末がMortoに感染すると、Mortoがローカルネットワーク内でリモートデスクトップ接続が可能な端末を探す。これにより、RDPポートであるTCPポート「3389」に大量のトラフィックが発生する。Mortoはリモートデスクトップサーバを見つけると、管理者としてログインしようと「admin」「server」などの一連のパスワードを入力する。ログインに成功するとMortoは標的の端末に自らを複製する。この感染で、端末のシステムに「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などのファイルが作成される。
米Microsoftは同日、Malware Protection Centerでこのワームを「Worm:Win32/Morto.A」とし、対策として最新の定義ファイルのダウンロードを推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR