ALERTAS | Noticias | 01 SEP 2011

Microsoft alerta sobre un nuevo gusano que roba contraseñas

Microsoft y varias compañías de seguridad han detectado un nuevo gusano diseñado para secuestrar servidores pobremente protegidos, utilizando para ello conexiones RDP desde PC ubicados en la misma red para conseguir credenciales de acceso.
Marta Cabanillas
Bautizado como “Morto” por Microsoft y “Troj/Agent-TEE” por Sophos, este gusano se instala como un servicio difícil de detectar dentro de Windows svchost.exe mediante una conexión Remote Desktop Protocol (RDP) sobre el puerto 3389. A continuación detecta las subredes e intenta conectarse utilizando un sencillo diccionario de posibles contraseñas.

Tal diccionario incluye, lógicamente variantes de “admin”, pero también nombres de usuario comunes y términos como “invitado”, “raíz”, “consola”, así como números de secuencias habituales.

En caso de tener éxito con un servidor, Morto se copia a sí mismo de forma automática en el sistema de la víctima e intenta elevar su propio proceso para conseguir control de nivel de administrador antes de descargar nuevos componentes.

Según los investigadores de Microsoft, Morto, que parece estar diseñado para el lanzamiento de ataques DDoS, no necesita exploit software para realizar su trabajo, tan sólo contraseñas débiles que explotar.

Hasta el momento, el gusano Morto ha sido descubierto únicamente en unos pocos miles de sistemas, la mayoría de ellos basados en Windows XP, pero, según los expertos, el lanzamiento de ataques de bajo nivel contra objetivos de alto valor podría ser parte de su estrategia operativa.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información