Abo
  • Services:

1234

Morto-Internetwurm macht sich Allerweltspasswörter zunutze

Die größte Schwachstelle an einem Rechner ist der Nutzer - zu diesem Schluss könnte kommen, wer sich den Morto-Wurm anschaut: Er nutzt keine Softwareschwachstelle, sondern geht nur simple Passwörter durch. Die Angreifer wollen so per RDP Rechner übernehmen.

Artikel veröffentlicht am ,
Neuer Internetwurm ist aktiv.
Neuer Internetwurm ist aktiv. (Bild: Koichi Kamoshida/Getty Images)

Ein neuer Wurm für Windows-Rechner nutzt das Remote-Desktop-Protokoll (RDP), um sich zu verbreiten. Das berichten übereinstimmend F-Secure und Microsoft. Der Wurm wird Morto.A oder Morto.B genannt. Das Besondere an dem Wurm ist nicht der Angriff über RDP, auch wenn dieser Angriffsvektor laut F-Secure neu ist, sondern der Umstand, dass keine Sicherheitslücke in Form einer Softwareschwachstelle ausgenutzt wird.

Stellenmarkt
  1. Hays AG, Frankfurt am Main
  2. Bremer Rechenzentrum GmbH, Bremen

Der Wurm probiert in einem Netzwerk einfach typische unsichere Passwörter durch und verbreitet sich so. Er sucht im Netzwerk Rechner, die per RDP ansprechbar sind. Hat er Erfolg, versucht der Wurm, sich als Administrator anzumelden und probiert einige Passwörter durch. Die Liste der Passwörter ist erstaunlich kurz.

Einfache Passwörter werden ausgenutzt

Zu den Administratorpasswörtern, die Morto durchprobiert, gehören Zeichenfolgen wie 1234, 1111, 888888 und ähnliche unsichere Passwörter. Auch Wörter wie pass, user, test, letmein, password oder admin sind Teil der Passwortliste. Einige Passwörter werden von dem Tastaturlayout bestimmt. Die Angreifer haben offenbar US-Rechner beim Design des Wurms berücksichtigt. Zeichenfolgen wie 1qaz2wsx oder !@#$%^ sind auf einem deutschen Tastaturlayout eigentlich schwer merkbare. Bei einem US-Layout sind die Zeichen in zwei beziehungsweise einer Reihe. Sehr viel Mühe hat sich der Wurmautor offenbar nicht gemacht.

Damit ein Angriff erfolgreich ist, muss der Systemadministrator seine Windows-Rechner für die Nutzung des Remote-Desktop-Protokolls freischalten. Zudem muss er eines der genannten Passwörter nutzen. Die Gefahr ist damit eigentlich gering. Angriffe auf große Institutionen zeigen allerdings, dass hier genug Potenzial vorhanden ist. Zuletzt hat etwa die Verwertungsgesellschaft Gema grundsätzliche Sicherheitsvorkehrungen nicht beachtet und ein kritisches System mit Standardpasswörtern offen gelassen.

Der Wurm blieb möglicherweise lange im Verborgenen

Allerdings gibt es einen Bericht, bei dem ein Rechner geknackt wurde, der das Passwort 2o9yuWaS02 für RDP-Admin-Verbindungen nutzte. Von einer ersten Infektion berichtet ein Opfer in einer Technet-Diskussion. Bereits am 4. August 2011 kam es zu einer Infektion, der Wurm verbreitet sich also schon länger. Einigen Kommentaren beim niederländischen security.nl zufolge soll der Wurm eine Anfang August 2011 geschlossene Sicherheitslücke ausgenutzt haben. Das Internet Storm Center hat über das Wochenende zudem erhöhte Aktivität auf dem RDP-Port beobachtet. Der Schluss liegt nahe, dass Morto erst jetzt mit seinen Aktivitäten beginnt und zuvor nur eine Grundverbreitung erreichen wollte.

Die verwendeten Passwörter sind in der Microsoft-Encyclopedia und im Blogeintrag von F-Secure zu finden. Beide Listen ergänzen sich. Möglicherweise sind sie aber nicht vollständig. Außerdem sind weitere Varianten von Morto zu erwarten.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 20€, Boxsets im Angebot, Serien zum Sonderpreis)
  2. (2 Monate Sky Ticket für nur 4,99€)
  3. (u. a. Der Marsianer, Spaceballs, Titanic, Batman v Superman)
  4. (u. a. The Hateful 8 Blu-ray, Hacksaw Ridge Blu-ray, Unlocked Blu-ray, Ziemlich beste Freunde Blu...

Lokster2k 30. Aug 2011

Vor allem spricht ja mittlerweile jeder fließend captcha^^...einfach solche wörter...

Martin F. 29. Aug 2011

Und für 10.0.0.1 reichen 16 Bit :)


Folgen Sie uns
       


Rimac Concept Two (C_Two) angesehen (Genf 2018)

Wir haben uns auf dem Genfer Autosalon 2018 den C_Two von Rimac angesehen.

Rimac Concept Two (C_Two) angesehen (Genf 2018) Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Digitalfotografie: Inkonsistentes Rauschen verrät den Fälscher
Digitalfotografie
Inkonsistentes Rauschen verrät den Fälscher

War der Anhänger wirklich so groß wie der Ring? Versucht da gerade einer, die Versicherung zu betuppen? Wenn Omas Erbstück geklaut wurde, muss die Versicherung wohl dem Digitalfoto des Geschädigten glauben. Oder sie engagiert einen Bildforensiker, der das Foto darauf untersucht, ob es bearbeitet wurde.
Ein Bericht von Werner Pluta

  1. iOS und Android Google lanciert drei experimentelle Foto-Apps
  2. Aufstecksucher für TL2 Entwarnung bei Leica

    •  /