Abo
  • Services:
Anzeige
Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

1234

Morto-Internetwurm macht sich Allerweltspasswörter zunutze

Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

Die größte Schwachstelle an einem Rechner ist der Nutzer - zu diesem Schluss könnte kommen, wer sich den Morto-Wurm anschaut: Er nutzt keine Softwareschwachstelle, sondern geht nur simple Passwörter durch. Die Angreifer wollen so per RDP Rechner übernehmen.

Ein neuer Wurm für Windows-Rechner nutzt das Remote-Desktop-Protokoll (RDP), um sich zu verbreiten. Das berichten übereinstimmend F-Secure und Microsoft. Der Wurm wird Morto.A oder Morto.B genannt. Das Besondere an dem Wurm ist nicht der Angriff über RDP, auch wenn dieser Angriffsvektor laut F-Secure neu ist, sondern der Umstand, dass keine Sicherheitslücke in Form einer Softwareschwachstelle ausgenutzt wird.

Anzeige

Der Wurm probiert in einem Netzwerk einfach typische unsichere Passwörter durch und verbreitet sich so. Er sucht im Netzwerk Rechner, die per RDP ansprechbar sind. Hat er Erfolg, versucht der Wurm, sich als Administrator anzumelden und probiert einige Passwörter durch. Die Liste der Passwörter ist erstaunlich kurz.

Einfache Passwörter werden ausgenutzt

Zu den Administratorpasswörtern, die Morto durchprobiert, gehören Zeichenfolgen wie 1234, 1111, 888888 und ähnliche unsichere Passwörter. Auch Wörter wie pass, user, test, letmein, password oder admin sind Teil der Passwortliste. Einige Passwörter werden von dem Tastaturlayout bestimmt. Die Angreifer haben offenbar US-Rechner beim Design des Wurms berücksichtigt. Zeichenfolgen wie 1qaz2wsx oder !@#$%^ sind auf einem deutschen Tastaturlayout eigentlich schwer merkbare. Bei einem US-Layout sind die Zeichen in zwei beziehungsweise einer Reihe. Sehr viel Mühe hat sich der Wurmautor offenbar nicht gemacht.

Damit ein Angriff erfolgreich ist, muss der Systemadministrator seine Windows-Rechner für die Nutzung des Remote-Desktop-Protokolls freischalten. Zudem muss er eines der genannten Passwörter nutzen. Die Gefahr ist damit eigentlich gering. Angriffe auf große Institutionen zeigen allerdings, dass hier genug Potenzial vorhanden ist. Zuletzt hat etwa die Verwertungsgesellschaft Gema grundsätzliche Sicherheitsvorkehrungen nicht beachtet und ein kritisches System mit Standardpasswörtern offen gelassen.

Der Wurm blieb möglicherweise lange im Verborgenen

Allerdings gibt es einen Bericht, bei dem ein Rechner geknackt wurde, der das Passwort 2o9yuWaS02 für RDP-Admin-Verbindungen nutzte. Von einer ersten Infektion berichtet ein Opfer in einer Technet-Diskussion. Bereits am 4. August 2011 kam es zu einer Infektion, der Wurm verbreitet sich also schon länger. Einigen Kommentaren beim niederländischen security.nl zufolge soll der Wurm eine Anfang August 2011 geschlossene Sicherheitslücke ausgenutzt haben. Das Internet Storm Center hat über das Wochenende zudem erhöhte Aktivität auf dem RDP-Port beobachtet. Der Schluss liegt nahe, dass Morto erst jetzt mit seinen Aktivitäten beginnt und zuvor nur eine Grundverbreitung erreichen wollte.

Die verwendeten Passwörter sind in der Microsoft-Encyclopedia und im Blogeintrag von F-Secure zu finden. Beide Listen ergänzen sich. Möglicherweise sind sie aber nicht vollständig. Außerdem sind weitere Varianten von Morto zu erwarten.


eye home zur Startseite
Lokster2k 30. Aug 2011

Vor allem spricht ja mittlerweile jeder fließend captcha^^...einfach solche wörter...

Martin F. 29. Aug 2011

Und für 10.0.0.1 reichen 16 Bit :)




Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Thalia Bücher GmbH, Hagen (Raum Dortmund)
  4. über Ratbacher GmbH, Stuttgart (Home-Office möglich)


Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. 99,00€
  3. (u. a. Better Call Saul 1. Staffel Blu-ray 12,97€, Breaking Bad letzte Staffel Blu-ray 9,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: Sieht gut aus

    ManMashine | 20:06

  2. Re: Mehr macht bei EWE eh keinen Sinn

    RipClaw | 20:05

  3. Re: Ergänzung...

    muhzilla | 20:05

  4. Re: Musst ja mal vorkommen

    StefanGrossmann | 20:05

  5. Re: Hat Microsoft eigentlich noch eine...

    DetlevCM | 20:00


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel