El gusano Morto aprovecha contraseñas débiles para extenderse por las redes empresariales
Ha sido un significativo aumento del tráfico en el Remote Desktop Protocol de Windows lo que ha llamado la atención de los administradores de red.
Se ha detectado un nuevo gusano para sistemas Windows, bautizado como Morto, que se extiende por redes empresariales aprovechándose de contraseñas débiles.
Bautizado como Morto por Microsoft y la compañía de seguridad F-Secure, el gusano ha estado circulando desde la semana pasada, cuando administradores de la compañía notaron que los sistemas estaban generando muchas conexiones a Internet que no tenían explicación. Según Microsoft, Morto es el culpable de lo que ocurría.
Aunque el número total de ordenadores en los que se ha detectado es bajo si se compara con otras familias de malware más establecidas, el tráfico que genera es destacable.
Morto se extiende utilizando RDP, o Remote Desktop Protocol, el protocolo creado por Microsoft para controlar un ordenador mediante la conexión desde otro.
Todas las versiones de Windows, desde XP, incluyen clientes de software que utilizan RDP para acceder remotamente a las máquinas. El software, llamado Remote Desktop Connection (RDC) en XP, Vista y Windows 7, requiere de un nombre de usuario y una contraseña para acceder a un sistema remoto.
Los sistemas Windows infectados por Morto pueden explorar la red local en busca de otras máquinas que tienen RDC encendido; después del malware intenta acceder al servidor Remote Desktop utilizando un lista de contraseñas comunes, aseguran desde F-Secure. Si una de las contraseñas funciona, el gusano descarga componentes de malware adicionales y acaba con el software de seguridad para permanecer escondido.
Pero la exploración en busca de objetivos potenciales genera bastante tráfico en el puerto TCP 3389, que es el puerto que Remote Desktop monitoriza para las peticiones de acceso entrante. Ha sido este tráfico el que ha llamado la atención de los administradores de red.
Los análisis realizados por Microsoft y F-Secure identificaron la lista de contraseñas débiles que intenta el malware, y que incluyen algunos ejemplos como “password”, “123456” o “123abc”.
Uno de los propósitos de Morto pudiera ser el de generar ataques de denegación de servicio, o DoS, contra objetivos identificados por los hackers.