Een worm die zich via de Remote Desktop-functie van Windows en het infecteren van .exe-bestanden verspreidt, doet actief moeite om het systeem niet te laten crashen. De Mustan-worm lijkt erg veel op de Morto-worm, die vorig jaar augustus voor het eerst opdook. Deze worm gebruikt veel voorkomende wachtwoorden om via de Remote Desktop-functie op Windows-systemen in te loggen en vervolgens het systeem over te nemen.

Ook Mustan verspreidt zich op deze manier. Daarnaast infecteert het .exe-bestanden, maar worden bestanden in de Windows directory, systeemmappen en bepaalde applicaties overgeslagen.

Crashes
"Het lijkt erop dat Mustan actief het infecteren van bestanden voorkomt waar een crash door de infectie zou opvallen. Microsoft applicaties en instant messaging clients staan beide op de 'whitelist' om niet besmet te raken", zegt Vincent Cabuag van Trend Micro.

Eenmaal actief probeert de worm alle mogelijke beschikbare schijven te infecteren, zowel lokaal, draagbaar als op het netwerk. Een andere opvallende eigenschap is dat de malware DNS gebruikt om met de Command & Control-servers te communiceren. Via het DNS text record worden opdrachten van de C&C-server verkregen.

Dat Mustan zich kan verspreiden is voornamelijk aan zwakke wachtwoorden te danken, merkt Cabuag op. "De aanwezigheid van deze worm bewijst dat veilig geachte netwerken nog steeds grote zwakke plekken hebben."