Abo
  • Services:
Anzeige
Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

1234

Morto-Internetwurm macht sich Allerweltspasswörter zunutze

Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

Die größte Schwachstelle an einem Rechner ist der Nutzer - zu diesem Schluss könnte kommen, wer sich den Morto-Wurm anschaut: Er nutzt keine Softwareschwachstelle, sondern geht nur simple Passwörter durch. Die Angreifer wollen so per RDP Rechner übernehmen.

Ein neuer Wurm für Windows-Rechner nutzt das Remote-Desktop-Protokoll (RDP), um sich zu verbreiten. Das berichten übereinstimmend F-Secure und Microsoft. Der Wurm wird Morto.A oder Morto.B genannt. Das Besondere an dem Wurm ist nicht der Angriff über RDP, auch wenn dieser Angriffsvektor laut F-Secure neu ist, sondern der Umstand, dass keine Sicherheitslücke in Form einer Softwareschwachstelle ausgenutzt wird.

Anzeige

Der Wurm probiert in einem Netzwerk einfach typische unsichere Passwörter durch und verbreitet sich so. Er sucht im Netzwerk Rechner, die per RDP ansprechbar sind. Hat er Erfolg, versucht der Wurm, sich als Administrator anzumelden und probiert einige Passwörter durch. Die Liste der Passwörter ist erstaunlich kurz.

Einfache Passwörter werden ausgenutzt

Zu den Administratorpasswörtern, die Morto durchprobiert, gehören Zeichenfolgen wie 1234, 1111, 888888 und ähnliche unsichere Passwörter. Auch Wörter wie pass, user, test, letmein, password oder admin sind Teil der Passwortliste. Einige Passwörter werden von dem Tastaturlayout bestimmt. Die Angreifer haben offenbar US-Rechner beim Design des Wurms berücksichtigt. Zeichenfolgen wie 1qaz2wsx oder !@#$%^ sind auf einem deutschen Tastaturlayout eigentlich schwer merkbare. Bei einem US-Layout sind die Zeichen in zwei beziehungsweise einer Reihe. Sehr viel Mühe hat sich der Wurmautor offenbar nicht gemacht.

Damit ein Angriff erfolgreich ist, muss der Systemadministrator seine Windows-Rechner für die Nutzung des Remote-Desktop-Protokolls freischalten. Zudem muss er eines der genannten Passwörter nutzen. Die Gefahr ist damit eigentlich gering. Angriffe auf große Institutionen zeigen allerdings, dass hier genug Potenzial vorhanden ist. Zuletzt hat etwa die Verwertungsgesellschaft Gema grundsätzliche Sicherheitsvorkehrungen nicht beachtet und ein kritisches System mit Standardpasswörtern offen gelassen.

Der Wurm blieb möglicherweise lange im Verborgenen

Allerdings gibt es einen Bericht, bei dem ein Rechner geknackt wurde, der das Passwort 2o9yuWaS02 für RDP-Admin-Verbindungen nutzte. Von einer ersten Infektion berichtet ein Opfer in einer Technet-Diskussion. Bereits am 4. August 2011 kam es zu einer Infektion, der Wurm verbreitet sich also schon länger. Einigen Kommentaren beim niederländischen security.nl zufolge soll der Wurm eine Anfang August 2011 geschlossene Sicherheitslücke ausgenutzt haben. Das Internet Storm Center hat über das Wochenende zudem erhöhte Aktivität auf dem RDP-Port beobachtet. Der Schluss liegt nahe, dass Morto erst jetzt mit seinen Aktivitäten beginnt und zuvor nur eine Grundverbreitung erreichen wollte.

Die verwendeten Passwörter sind in der Microsoft-Encyclopedia und im Blogeintrag von F-Secure zu finden. Beide Listen ergänzen sich. Möglicherweise sind sie aber nicht vollständig. Außerdem sind weitere Varianten von Morto zu erwarten.


eye home zur Startseite
Lokster2k 30. Aug 2011

Vor allem spricht ja mittlerweile jeder fließend captcha^^...einfach solche wörter...

Martin F. 29. Aug 2011

Und für 10.0.0.1 reichen 16 Bit :)




Anzeige

Stellenmarkt
  1. OSRAM GmbH, München, Garching bei München, Berlin
  2. Deutsche Hypothekenbank (Actien-Gesellschaft), Hannover
  3. EOS GmbH Electro Optical Systems, Freiberg
  4. Bertrandt Services GmbH, Friedrichshafen


Anzeige
Top-Angebote
  1. 36,49€
  2. 299,00€
  3. 399,00€

Folgen Sie uns
       


  1. Bake in Space

    Bloß keine Krümel auf der ISS

  2. Sicherheitslücke

    Fortinet vergisst, Admin-Passwort zu prüfen

  3. Angry Birds

    Rovio verbucht Quartalsverlust nach Börsenstart

  4. Erneuerbare Energien

    Tesla baut in drei Monaten einen Netzspeicher in Australien

  5. Netzwerkdurchsetzungsgesetz

    Zweites Löschzentrum von Facebook startet in Essen

  6. Raumfahrtpionier

    Der Mann, der lange vor SpaceX günstige Raketen entwickelte

  7. Auch Italien

    Amazon-Streik am Black Friday an sechs Standorten

  8. Urteil

    Winsim-Preiserhöhung von Drillisch ist hinfällig

  9. Automatisierung

    Hillary Clinton warnt vor den Folgen künstlicher Intelligenz

  10. Gutachten

    Quote für E-Autos und Stop der Diesel-Subventionen gefordert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Montagewerk in Tilburg: Wo Tesla seine E-Autos für Europa produziert
Montagewerk in Tilburg
Wo Tesla seine E-Autos für Europa produziert
  1. Elektroauto Walmart will den Tesla-Truck
  2. Elektrosportwagen Tesla Roadster 2 beschleunigt in 2 Sekunden auf Tempo 100
  3. Elektromobilität Tesla Truck soll in 30 Minuten 630 km Reichweite laden

Fitbit Ionic im Test: Die (noch) nicht ganz so smarte Sportuhr
Fitbit Ionic im Test
Die (noch) nicht ganz so smarte Sportuhr
  1. Verbraucherschutz Sportuhr-Hersteller gehen unsportlich mit Daten um
  2. Wii Remote Nintendo muss 10 Millionen US-Dollar in Patentstreit zahlen
  3. Ionic Fitbit stellt Smartwatch mit Vier-Tage-Akku vor

E-Golf im Praxistest: Und lädt und lädt und lädt
E-Golf im Praxistest
Und lädt und lädt und lädt
  1. Garmin Vivoactive 3 im Test Bananaware fürs Handgelenk
  2. Microsoft Sonar überprüft kostenlos Webseiten auf Fehler
  3. Inspiron 5675 im Test Dells Ryzen-Gaming-PC reicht mindestens bis 2020

  1. Re: Grundeinkommen

    chithanh | 12:19

  2. Bewerbung möglich?

    Umaru | 12:18

  3. Re: Man stelle sich mal vor alle Berufsgruppen...

    gadthrawn | 12:17

  4. Re: Subvention?

    chewbacca0815 | 12:16

  5. Re: Wer bei Drillisch abschließt....

    pointX | 12:14


  1. 12:00

  2. 11:47

  3. 11:25

  4. 10:56

  5. 10:40

  6. 10:28

  7. 10:27

  8. 10:03


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel