heise.de berichtete heute über einen Wurm der sich laut F-Secure über die Remote-Desktop-Funktion (RDP) von Windows verbreitet.
Der Wurm namens Morto nutzt nach Angaben von F-Secure keine Sicherheitslücken von Windows aus, vielmehr scannt dieser IP-Adressbereiche
auf einen offenen RDP-Port 3389. Um sich nun Zugriff auf das System zu verschaffen, wird hier das Login des Administrators mit einer
Liste häufig genutzter Passwörter verwendet.

Für eine dauerhafte Einnistung des Wurms legt dieser ein Laufwerk A: an, das wie eine Netzwerkfreigabe angesprochen werden kann.
In dieser Freigabe wird dann eine Datei namens a.dll hinterlegt, die für eine weitere Verbreitung zuständig ist.
Im weiteren Infektionsverlauf legt Morto unter anderem die Dateien windowssystem32sens32.dll und windowsoffline web pagescache.txt an.

Das Internet Storm Center hat bereits einen massiven Anstieg des Traffics auf dem RDP-Port verzeichnen können.
Wie typische Schädlinge kontaktiert auch Morto eine Reihe von Domains, um dort neue Befehle und Komponenten nachzuladen.
Details zu dem Wurm Morto hat Microsoft bereits unter http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Worm%3AWin32%2FMorto.A veröffentlicht.

Wir empfehlen daher, um dem Wurm entgegenzuwirken, schwer zu erratende Passwörter in alphanumerischer Form inklusive Sonderzeichen zu verwenden.

Siehe auch dazu der Artikel von heise.de (http://www.heise.de/newsticker/meldung/Wurm-verbeitet-sich-ueber-Remote-Desktop-Funktion-von-Windows-1331752.html)