| Grinya |
Дата: Понедельник, 21.11.2011, 04:06 | Сообщение # 1 |
|
Легендарный
Группа: Администратор
Сообщений: 365
Статус: Offline .: Дополнительные данные :.    
|
Кратко:
При заражении сканирует локальную сеть на наличие машин с открытым TCP 3389 (RDP).
Если находит - начинает подбирать пароли к дефолтному аккаунту Administrator.
Попутно генеря кучу левого трафика по RDP, что может приводить к невозможности подключения.
Для размножения использует механизм "расшаривания" дисков по RDP протоколу.
(создает диск "А", на который пишет фейковую .dll-ку с рандомным именем, которая является дропером)
Может контролироваться удаленно и выступать в качестве основы для бот-нета.
От себя:
Лишнее напоминание всем, у кого серваки под виндой:
1. Переименовать/отключить нафиг дефолтного "Администратора"
2. Биндить RDP на альтернативный порт (не 3389)
Ну и само-собой юзать фаерволы и Sysinternals Suite - для контроля активности системы.
Детали:
http://www.f-secure.com/weblog/archives/00..._medium=twitter
http://contagiodump.blogspot.com/2011/08/a...-worm-with.html
Проверить:
http://carnal0wnage.attackresearch.com/201...rvers-vuln.html
 |
| |
| |
