RDPを悪用してWindowsマシンに感染するワーム「Morto」が発生

[佐藤由紀子，ITmedia]

　セキュリティ企業のF-Secureは8月28日（現地時間）のブログで、リモートデスクトッププロトコル（RDP）を悪用してWindowsの端末やサーバに感染するワーム「Morto」が見つかったと伝えた。

　Windowsは「リモートデスクトップ接続」というソフトウェアでこのプロトコルをサポートしている。Windowsユーザーはこのソフトを利用して、リモートからWindowsマシンにアクセスできる。

　端末がMortoに感染すると、Mortoがローカルネットワーク内でリモートデスクトップ接続が可能な端末を探す。これにより、RDPポートであるTCPポート「3389」に大量のトラフィックが発生する。Mortoはリモートデスクトップサーバを見つけると、管理者としてログインしようと「admin」「server」などの一連のパスワードを入力する。ログインに成功するとMortoは標的の端末に自らを複製する。この感染で、端末のシステムに「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」などのファイルが作成される。

　米Microsoftは同日、Malware Protection Centerでこのワームを「Worm:Win32/Morto.A」とし、対策として最新の定義ファイルのダウンロードを推奨している。

変更履歴：本文中、ポート番号を「3390」としておりましたが、正しくは「3389」でした。お詫びして訂正いたします。［2011/08/29 19:50］