ULTIMA HORA : Un nuevo gusano “MORTO” infecta Windows a través del protocolo de escritorio remoto

“Morto” es el último gusano de Internet que se ha detectado para Windows, puede realizar ataques DDoS y afecta a aquellos sistemas con contraseñas de administrador más débiles.

Un nuevo malware, llamado “Morto”, está infectando máquinas con sistema operativo Windows a través del Protocolo de Escritorio Remoto (RDP). De hecho, se trata del primer gusano de Internet que utiliza este vector de infección.

A diferencia de anteriores amenazas automatizadas como CodeRed, Blaster, Sasser y Slammer, que causaron verdaderos estragos en las redes empresariales, ésta no se aprovecha de ninguna vulnerabilidad específica de Windows. Lo que hace es buscar ordenadores con el puerto 3389 y luego forzar la contraseña para hacerse con el control de la máquina.

Dicen que “Morto” es indetectable por antivirus como Avast, AVG, AV Clam, McAfee o Norton  (Creemos quieren decir en el momento de escribir el informe)

Al parecer, intenta comprometer los sistemas recurriendo a las 30 contraseñas más comunes para la cuenta de administrador de Windows. En esta lista se encuentran ejemplos como: admin, admin123, user, test, *1234, letmein, password, server y 1234567890, de acuerdo con el Centro de Protección contra Malware de Microsoft (MMPC).

Cuando “Morto” adivina la clave, se conecta al sistema remoto y empieza a reproducirse. El malware se compone de un instalador y una biblioteca de enlace dinámico (DLL) que ejecutan la carga útil. El archivo DLL tiene el mismo nombre que uno utilizado por el Editor de Registro y contiene información de configuración cifrada para descargar y ejecutar al menos tres componentes adicionales.

Una vez que el sistema ha sido infectado con éxito, “Morto” escanea la red local para alcanzar la mayor cantidad de servidores y ordenadores. Asimismo, genera una gran cantidad de tráfico similar a una red de bots, recibiendo órdenes y descargando archivos desde un servidor de comando y control, y ejecutando consultas DNS.

También como una botnet, puede ser controlado de forma remota y realizar ataques de denegación de servicio (DDoS) contra objetivos especificados por su autor.

Los investigadores han identificado varios de estos servidores alrededor del mundo, así como diversas variantes del gusano que han conseguido eliminar los procesos de aplicaciones de seguridad informática. De momento habría afectado a Windows Server 2003, Windows XP y Windows 7.

torio-remoto-14473″> Fuente

ANEXO DEL 31-8-2011:

Preocupados por este nuevo malware, y hasta que lo controlemos especificamente, ofrecemos informe de VirusTotal y medio de detección de la DLL en cuestión, con nuestras utilidades:
File name: File.dll
Submission date: 2011-08-30 10:54:11 (UTC)
Current status: finished
Result: 29 /44 (65.9%)
VT Community

not reviewed
Safety score: –
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.08.30.00 2011.08.30 Win-Trojan/Helpagent.7184
AntiVir 7.11.14.29 2011.08.30 Worm/Morto.A
Antiy-AVL 2.0.3.7 2011.08.30 –
Avast 4.8.1351.0 2011.08.30 Win32:Trojan-gen
Avast5 5.0.677.0 2011.08.30 Win32:Trojan-gen
AVG 10.0.0.1190 2011.08.30 BackDoor.Generic14.AEBF
BitDefender 7.2 2011.08.30 Win32.Worm.Morto.B
ByteHero 1.0.0.1 2011.08.22 –
CAT-QuickHeal 11.00 2011.08.30 –
ClamAV 0.97.0.0 2011.08.30 Worm.Morto-1
Commtouch 5.3.2.6 2011.08.30 W32/Morto.A
Comodo 9929 2011.08.30 –
DrWeb 5.0.2.03300 2011.08.30 Win32.HLLW.Morto.2
Emsisoft 5.1.0.10 2011.08.30 Backdoor.Win32.Morto!IK
eSafe 7.0.17.0 2011.08.29 –
eTrust-Vet 36.1.8530 2011.08.30 Win32/Morto.A
F-Prot 4.6.2.117 2011.08.30 W32/Morto.A
F-Secure 9.0.16440.0 2011.08.30 Worm:W32/Morto.D
Fortinet 4.3.370.0 2011.08.30 –
GData 22 2011.08.30 Win32.Worm.Morto.B
Ikarus T3.1.1.107.0 2011.08.30 Backdoor.Win32.Morto
Jiangmin 13.0.900 2011.08.29 –
K7AntiVirus 9.111.5068 2011.08.29 –
Kaspersky 9.0.0.837 2011.08.30 Trojan.Win32.Pakes.qay
McAfee 5.400.0.1158 2011.08.30 Artemis!EBB3A5964DA4
McAfee-GW-Edition 2010.1D 2011.08.30 Artemis!EBB3A5964DA4
Microsoft 1.7604 2011.08.30 Worm:Win32/Morto.A
NOD32 6421 2011.08.30 Win32/Morto.A
Norman 6.07.10 2011.08.30 W32/Morto.A
nProtect 2011-08-30.01 2011.08.30 –
Panda 10.0.3.5 2011.08.30 Trj/CI.A
PCTools 8.0.0.5 2011.08.30 Backdoor.Trojan
Prevx 3.0 2011.08.30 –
Rising 23.73.01.03 2011.08.30 –
Sophos 4.68.0 2011.08.30 Troj/Agent-TEE
SUPERAntiSpyware 4.40.0.1006 2011.08.30 –
Symantec 20111.2.0.82 2011.08.30 Backdoor.Trojan
TheHacker 6.7.0.1.286 2011.08.29 –
TrendMicro 9.500.0.1008 2011.08.30 –
TrendMicro-HouseCall 9.500.0.1008 2011.08.30 WORM_MORTO.A
VBA32 3.12.16.4 2011.08.30 –
VIPRE 10315 2011.08.30 Trojan.Win32.Generic!BT
ViRobot 2011.8.30.4647 2011.08.30 Worm.Win32.Agent.7184
VirusBuster 14.0.191.0 2011.08.29 Worm.Morto!D50NEgERHOA
Additional informationShow all
MD5   : ebb3a5964da485c0b9e67164b047a7a5
SHA1  : 5df13bd65f7bd7035ef06b3cea5583f9bfdc6588

File size : 54484 bytes

De momento, para detectar posible fichero DLL con dicho virus, probar con nuestro ELIMD5.EXE entrando este hash:   ebb3a5964da485c0b9e67164b047a7a5

___________

Y finalmente añadimos a partir del ELISTARA 23.77 de hoy, el control y eliminacion de las DLL que instala dicho malware:

en windir la CLB.DLL , que existe normalmente en la carpeta de sistema

en la carpeta de sistema un SENS32.DLL, donde existe uno pero sin el 32

y en windir\temp un NTSHRUI.DLL, que existe normalmente en la de sistema

Dicha version del ELISTARA 23.77 que los detecta y elimina, estará disponible en nuestra web a partir de las 19 h CEST de hoy.
Solo resta aconsejar para evitar este y otros que ingresan probando passwords, el utilizar CONTRASEÑAS SEGURAS, esto es, alfanumericas, y mezclando mayúsculas y minúsculas, no las básicas que son las que prueban algunos malwares como este,

Con ello damos por controlado este MORTO que aparentaba ser de un grado de detección dificil …
saludos

ms, 31-8-2011