F-Secureは28日、リモートデスクトップ接続を介して感染を広げるワーム「Morto」を発見したとして、注意を喚起した。 「Morto」に感染したマシンは、ローカルネットワークをスキャンし、リモートデスクトップ接続が可能になっているマシンを探す。これにより、リモートデスクトップ接続のポートであるTCP 3389番ポートで多くのトラフィックが発生する。マシンが見つかると、管理者としてログインしようとし、「admin」「password」「server」など一連のパスワードを試みる。接続が成功すると、Morto自身を対象のマシンにコピーする。また、「\windows\system32\sens32.dll」「\windows\offline web pages\cache.txt」など、いくつかの新しいファイルが作成される。また、Mortoは外部からのコントロールサーバーからの制御も可能になっているという。リモートデスクトップは、企業では必須のリモートアクセス接続だといっても過言ではありません。VNCよりも早くパワフルに動いてくれるリモートデスクトップは使い始めると本当に便利なものです。
最近ではCitrixなどで積極的に利用され、クラウドを支えるバックグラウンドとしても機能しています。このような素晴らしい技術が悪用されてしまうのは非常に残念です。Virusパターンが最新になっていることをこまめにチェックしていくつもりです。
