Internet-Wurm Win32/Morto.A

Am 28. August wurde von Microsoft ein Bericht veröffentlicht, der einen kürzlich aufgetauchten Wurm beschreibt. Im IT-Frühwarnsystem Carmentis waren diesbezüglich ebenfalls vermehrt Account-Probes erkennbar.

Die Malware nutzt dabei keine Schwachstelle in einer Windows-Komponente, sondern versucht, Benutzer-Kennwörter anhand einer vordefinierten Liste mittels des RDP-Protokolls ("Remote Desktop Protocol") zu erraten.

Die Malware besteht aus zwei Komponenten, einer sogenannten "dropper"-Komponente, diese installiert eine DLL-Datei "clb.dll" in das Windows-Verzeichnis, die andere Komponente stellt die eigentliche Schadfunktion zur Verfügung.

Nach der erfolgreichen Infektion versucht der Wurm über den TCP-Port 3389 weitere Maschinen im Subnetz-Bereich des infizierten Computers zu finden und diese ebenfalls zu infizieren.

Weiterhin kontaktiert der Wurm eine feste Liste von Rechnern für zusätzliche Informationen und mögliche Updates. Außerdem versucht der Wurm eine vordefinierte Liste von bekannten AV- und Sicherheits-Prozessen zu beenden.

Links:

1. http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FMorto.A
2. http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3aWin32%2fMorto.gen!A
3. https://www.carmentis.org/