各種互聯(lián)網(wǎng)安全公司的報(bào)告顯示，一個(gè)新的互聯(lián)網(wǎng)蠕蟲(chóng)病毒正在廣泛傳播，它利用了Windows系統(tǒng)上的弱口令，但它利用的傳播方法很罕見(jiàn)。

首次報(bào)道是在上周日，Morto蠕蟲(chóng)或Win32/Morto似乎是一個(gè)老派的互聯(lián)網(wǎng)蠕蟲(chóng)，在由木馬和僵尸占新惡意代碼樣本大部分的近幾年，它們已經(jīng)很少見(jiàn)了。

根據(jù)多份報(bào)告，Morto感染W(wǎng)indows工作站和服務(wù)器，但是它是通過(guò)Windows遠(yuǎn)程桌面協(xié)議（Remote Desktop Protocol，RDP）傳播的，RDP是Windows遠(yuǎn)程桌面鏈接服務(wù)的一部分，該服務(wù)允許遠(yuǎn)程的控制Windows PC機(jī)或服務(wù)器。

“一旦機(jī)器被感染，Morto蠕蟲(chóng)就開(kāi)始掃描已啟用遠(yuǎn)程桌面連接的本地網(wǎng)絡(luò)，”F－Secure公司首席研究主任Mikko Hypponen在一篇博客中這樣說(shuō)道，“這為3389/TCP端口（即RDP端口）帶來(lái)了很多流量。”

Hypponen表示，如果找到了一臺(tái)這樣的機(jī)器，該蠕蟲(chóng)會(huì)使用一系列常見(jiàn)的密碼暴力破解嘗試以管理員身份登錄。成功登錄后，該蠕蟲(chóng)將自身復(fù)制到新機(jī)，終止與本地安全應(yīng)用相關(guān)的進(jìn)程，并繼續(xù)其傳播嘗試。Morto可以通過(guò)多臺(tái)服務(wù)器，包括jaifr.com和qfsl.net被遠(yuǎn)程控制，Hypponen補(bǔ)充道。

微軟周日在TechNet博客中證實(shí)了該蠕蟲(chóng)的存在，但目前尚不清楚哪些Windows版本可能被感染，且容易被用來(lái)進(jìn)行成功的傳播。

eEye數(shù)字安全公司的首席技術(shù)官M(fèi)arc Maiffret在其公司的博客中寫(xiě)道，Morto蠕蟲(chóng)使他想起了“紅色代碼（CodeRed），地獄（Slammer），震蕩波（Sasser），沖擊波（Blaster）”以及其他病毒存在的那個(gè)時(shí)候。據(jù)Maiffret，企業(yè)可避免感染，通過(guò)直接禁止從互聯(lián)網(wǎng)上訪問(wèn)RDP，使用強(qiáng)密碼，以及改變注冊(cè)表項(xiàng)從而讓RDP使用非標(biāo)準(zhǔn)的網(wǎng)絡(luò)端口。

“人們可能認(rèn)為在2011年，這種基本的攻擊不會(huì)帶來(lái)多大的影響，”Maiffret寫(xiě)道，“但防病毒廠商和SANS似乎都看到了RDP網(wǎng)絡(luò)流量的增長(zhǎng)，而造成這一現(xiàn)象的罪魁禍?zhǔn)鬃钣锌赡芫褪荕orto蠕蟲(chóng)通過(guò)RDP Windows帳戶暴力破解（brute-forcing）來(lái)感染系統(tǒng)。

在TechNet博客中，微軟還建議使用強(qiáng)密碼，應(yīng)包括14個(gè)以上的字符，并含有各種不同的字母，標(biāo)點(diǎn)符號(hào)，符號(hào)和數(shù)字。

【編輯推薦】

1. Blue Coat識(shí)別由網(wǎng)絡(luò)廣告驅(qū)動(dòng)的虛假防病毒攻擊
2. linux下解決arp病毒攻擊時(shí)上網(wǎng)問(wèn)題的治標(biāo)辦法
3. 手機(jī)病毒實(shí)測(cè)：智能手機(jī)真會(huì)中病毒？
4. 病毒防御之漏洞和木馬變種程序的安全警報(bào)
5. 病毒防御：360殺毒“3D防御”效果實(shí)測(cè)