Nieuws
image

Windows RDP-worm infecteert exe-bestanden

woensdag 11 juli 2012, 12:21 door Redactie, 6 reacties

Er is een nieuwe variant van de beruchte Morto-worm ontdekt, waarvan de eerste versie een jaar geleden opdook. Morto is de eerste worm die computers infecteert via de Remote Desktop (Extern Bureaublad) functie van Windows. Zodra de worm een Remote Desktop server vindt, probeert het via verschillende, veel voorkomende wachtwoorden als Administrator in te loggen. In tegenstelling tot de eerste variant van vorig jaar, kan Morto.B uitvoerbare bestanden infecteren.

Voor de infectie controleert de worm of het bestand niet eerder is geïnfecteerd, om zo dubbele infecties te voorkomen. Als het bestand schoon is, plaatst de worm de virale code in het laatste gedeelte van het uitvoerbare bestand. Zodra een gebruiker het besmette bestand opent, wordt eerst de virale code uitgevoerd en kan de worm zich verder verspreiden.

Reacties (6)
11-07-2012, 13:52 door SirDice
Als het bestand schoon is, plaatst de worm de virale code in het laatste gedeelte van het uitvoerbare bestand. Zodra een gebruiker het besmette bestand opent, wordt eerst de virale code uitgevoerd en kan de worm zich verder verspreiden.
Dan is het geen worm maar een virus. Een worm is "self-contained" en infecteert geen andere executables.
11-07-2012, 14:06 door Whacko
@SirDice Het is in zoverre een worm, dat het zichzelf kan verspreiden via RDP, en dus niet zozeer een menselijke factor nodig heeft. Dat het andere bestanden infecteert is inderdaad weer een kenmerk van een virus. Zo zorgt het ervoor dat het nog meer verspreid kan worden als iemand een programma kopieert, of bijvoorbeeld van een netwerk locatie uitvoert.
11-07-2012, 14:47 door SirDice
Door Whacko: @SirDice Het is in zoverre een worm, dat het zichzelf kan verspreiden via RDP, en dus niet zozeer een menselijke factor nodig heeft.
De infectie vector is niet relevant.
11-07-2012, 14:53 door Skizmo
Als het bestand schoon is, plaatst de worm de virale code in het laatste gedeelte van het uitvoerbare bestand
Dit soort technieken worden toch door iedere virusscanner geherkend ?
11-07-2012, 18:32 door Anoniem
Door Skizmo:
Als het bestand schoon is, plaatst de worm de virale code in het laatste gedeelte van het uitvoerbare bestand
Dit soort technieken worden toch door iedere virusscanner geherkend ?
Het voltooid deelwoord van herkennen is herkend.
11-07-2012, 19:51 door Anoniem
Door Skizmo:
Als het bestand schoon is, plaatst de worm de virale code in het laatste gedeelte van het uitvoerbare bestand
Dit soort technieken worden toch door iedere virusscanner geherkend ?

Misschien hoopt men dat dit gedrag zo "ouderwets" is dat virusscanners hier niet meer op letten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure