Anzeige
Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

1234

Morto-Internetwurm macht sich Allerweltspasswörter zunutze

Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

Die größte Schwachstelle an einem Rechner ist der Nutzer - zu diesem Schluss könnte kommen, wer sich den Morto-Wurm anschaut: Er nutzt keine Softwareschwachstelle, sondern geht nur simple Passwörter durch. Die Angreifer wollen so per RDP Rechner übernehmen.

Ein neuer Wurm für Windows-Rechner nutzt das Remote-Desktop-Protokoll (RDP), um sich zu verbreiten. Das berichten übereinstimmend F-Secure und Microsoft. Der Wurm wird Morto.A oder Morto.B genannt. Das Besondere an dem Wurm ist nicht der Angriff über RDP, auch wenn dieser Angriffsvektor laut F-Secure neu ist, sondern der Umstand, dass keine Sicherheitslücke in Form einer Softwareschwachstelle ausgenutzt wird.

Anzeige

Der Wurm probiert in einem Netzwerk einfach typische unsichere Passwörter durch und verbreitet sich so. Er sucht im Netzwerk Rechner, die per RDP ansprechbar sind. Hat er Erfolg, versucht der Wurm, sich als Administrator anzumelden und probiert einige Passwörter durch. Die Liste der Passwörter ist erstaunlich kurz.

Einfache Passwörter werden ausgenutzt

Zu den Administratorpasswörtern, die Morto durchprobiert, gehören Zeichenfolgen wie 1234, 1111, 888888 und ähnliche unsichere Passwörter. Auch Wörter wie pass, user, test, letmein, password oder admin sind Teil der Passwortliste. Einige Passwörter werden von dem Tastaturlayout bestimmt. Die Angreifer haben offenbar US-Rechner beim Design des Wurms berücksichtigt. Zeichenfolgen wie 1qaz2wsx oder !@#$%^ sind auf einem deutschen Tastaturlayout eigentlich schwer merkbare. Bei einem US-Layout sind die Zeichen in zwei beziehungsweise einer Reihe. Sehr viel Mühe hat sich der Wurmautor offenbar nicht gemacht.

Damit ein Angriff erfolgreich ist, muss der Systemadministrator seine Windows-Rechner für die Nutzung des Remote-Desktop-Protokolls freischalten. Zudem muss er eines der genannten Passwörter nutzen. Die Gefahr ist damit eigentlich gering. Angriffe auf große Institutionen zeigen allerdings, dass hier genug Potenzial vorhanden ist. Zuletzt hat etwa die Verwertungsgesellschaft Gema grundsätzliche Sicherheitsvorkehrungen nicht beachtet und ein kritisches System mit Standardpasswörtern offen gelassen.

Der Wurm blieb möglicherweise lange im Verborgenen

Allerdings gibt es einen Bericht, bei dem ein Rechner geknackt wurde, der das Passwort 2o9yuWaS02 für RDP-Admin-Verbindungen nutzte. Von einer ersten Infektion berichtet ein Opfer in einer Technet-Diskussion. Bereits am 4. August 2011 kam es zu einer Infektion, der Wurm verbreitet sich also schon länger. Einigen Kommentaren beim niederländischen security.nl zufolge soll der Wurm eine Anfang August 2011 geschlossene Sicherheitslücke ausgenutzt haben. Das Internet Storm Center hat über das Wochenende zudem erhöhte Aktivität auf dem RDP-Port beobachtet. Der Schluss liegt nahe, dass Morto erst jetzt mit seinen Aktivitäten beginnt und zuvor nur eine Grundverbreitung erreichen wollte.

Die verwendeten Passwörter sind in der Microsoft-Encyclopedia und im Blogeintrag von F-Secure zu finden. Beide Listen ergänzen sich. Möglicherweise sind sie aber nicht vollständig. Außerdem sind weitere Varianten von Morto zu erwarten.


eye home zur Startseite
Lokster2k 30. Aug 2011

Vor allem spricht ja mittlerweile jeder fließend captcha^^...einfach solche wörter...

Martin F. 29. Aug 2011

Und für 10.0.0.1 reichen 16 Bit :)




Anzeige

Stellenmarkt
  1. Deutsche Telekom Technischer Service GmbH, verschiedene Standorte
  2. eFulfilment Transaction Services GmbH, Ludwigsburg bei Stuttgart
  3. OXID eSales AG, Freiburg im Breisgau oder Halle an der Saale
  4. IVU Traffic Technologies AG, Berlin, Aachen


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)

Folgen Sie uns
       


  1. Slim

    Hinweise auf schlanke Playstation 4

  2. Wasserwaagen-App

    Android-Trojaner im Play Store installiert ungewollt Apps

  3. Datenrate

    Telekom und M-Net gewinnen Connect-Festnetztest

  4. Star Wars Lego im Test

    Das Erwachen der Lustigkeit

  5. Video-Streaming

    Sky Online kommt aufs aktuelle Apple TV

  6. Extreme/Ultra Micro-SD

    Sandisk will die schnellste µSD-Karte mit 256 GByte haben

  7. BND-Gesetzreform

    Voller Zugriff auf die Kabel der Telekom

  8. Premier League

    Manchester City will Fußballdaten hacken lassen

  9. Grafikkarten

    Geforce GTX 1060 und Radeon RX 490 kündigen sich an

  10. Elektroauto

    Tesla muss ein Model X zurücknehmen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Telefonabzocke: Dirty Harry erklärt mein Windows für kaputt
Telefonabzocke
Dirty Harry erklärt mein Windows für kaputt
  1. Security Ransomware-Bosse verdienen 90.000 US-Dollar pro Jahr
  2. Security-Studie Mit Schokolade zum Passwort
  3. Festnahme und Razzien Koordinierte Aktion gegen Cybercrime

Oneplus Three im Test: Ein Alptraum für die Android-Konkurrenz
Oneplus Three im Test
Ein Alptraum für die Android-Konkurrenz
  1. Android-Smartphone Diskussionen um Speichermanagement beim Oneplus Three
  2. Smartphones Oneplus soll keine günstigeren Modellreihen mehr planen
  3. Ohne Einladung Oneplus Three kommt mit 6 GByte RAM für 400 Euro

Mobbing auf Wikipedia: Content-Vandalismus, Drohungen und Beschimpfung
Mobbing auf Wikipedia
Content-Vandalismus, Drohungen und Beschimpfung
  1. Freies Wissen Katherine Maher wird dauerhafte Wikimedia-Chefin

  1. Re: Warum eine News/Beachtung?

    Palerider | 15:48

  2. Re: Wann gibt's mal wieder richtige Tastaturen?

    ichbinsmalwieder | 15:48

  3. Re: *Das* hier ist lustig.

    seby | 15:47

  4. Re: Leserate als Kriterium?

    ichbinsmalwieder | 15:46

  5. Re: Schade

    Köln | 15:46


  1. 15:21

  2. 14:18

  3. 14:05

  4. 14:00

  5. 13:49

  6. 13:45

  7. 13:30

  8. 13:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel