・W32/Morto.dllはリモートデスクトップ(RDP)サービスがインストールされているマシンで使われている安全性の低いパスワードから拡散するインターネットワームです。ローカルネットワークをスキャンし、一般的なユーザ名とパスワードのリストを使って、見つかったRDPサーバにログインしようとします。
・W32/Morto.dllはW32/MortoのDLLコンポーネントです。このコンポーネントはW32/Mortoによってドロップ(作成)されてインストールされます。最初は以下の名前でドロップされます。
・再起動後、c:\Windows\System32\sens32.dllという名前に変更されます。
・DLLは、ServiceDLLパラメータを変更し、悪質なファイルに向けさせることにより、SENSという名前のサービスとしてインストールされます。サービスはsvchost.exeによって実行されます。以下のキーが変更され、ドロップされたDLLに向けられます。
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SENS\Parameters\ServiceDll: C:\WINDOWS\system32\Sens32.dll
・実行後、いくつかの隠しスレッドを「svchost.exe」に作成します。
・以下のファイルがシステムに作成されます。
- C:\WINDOWS\Offline Web Pages\1.40_TestDdos
- C:\WINDOWS\Offline Web Pages\<日付>
・上記の<日付>という名前のファイルには、マシンがW32/Morto.dllに感染した日付が格納されます。
・また、暗号化された情報を格納するために使われる以下のレジストリキーを作成します。
- HKEY_LOCAL_MACHINE\SYSTEM\WPA\it
- HKEY_LOCAL_MACHINE\SYSTEM\WPA\id
- HKEY_LOCAL_MACHINE\SYSTEM\WPA\ie
- HKEY_LOCAL_MACHINE\SYSTEM\WPA\sn
- HKEY_LOCAL_MACHINE\SYSTEM\WPA\sr
・また、再起動時のセキュリティ警告を無効化するため、以下のレジストリキーが変更されます。
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows\NoPopUpsOnBoot
・実行後、ポート3389(RDP)でローカルネットワークのマシンに接続します。サービスが開かれているマシンが見つかると、管理者ユーザのパスワードを推測するため、総当たり攻撃を開始します。以下のパスワードが試される可能性があります。
- Z1234
- 123
- 123456
- admin
- password
- 1qaz2wsx
- user
- server
- 111111
- test
- abc123
- 888888
- pass
- 654321
- 000000
- 1234qwer
- admin123
- !@#$%
- 66666
- letmein
- secret
- rockyou
- iloveyou
- super
- qazwsx
- computer
- abcd
- root
- princess
- dragon
- PASSWORD
- admin
- letmein
- computer
- super
・上記の通り、簡単なパスワードを推測しようとします。何度も言われていることですが、ユーザ、ネットワーク管理者は、インターネットに接続するサービスでは安全性の高いパスワードを使用するようにしてください。
・RDPサーバに総当たり攻撃を仕掛ける以外に、W32/Morto.dllは、コマンド&コントロールサーバの命令を受け取るため、DNSサーバへの問い合わせを行おうとします。問い合わせ先のドメインのTXTデータには、W32/Morto.dllが実行すべき命令が含まれています。
・これらの命令により、任意のWebサイトへの分散サービス拒否(DDoS)攻撃を開始したり、他のネットワークのRDPサーバをスキャンしたりすることができます。
・分析したサンプルが問い合わせたドメインは以下のとおりです。
- dostest1.qfsl.net
- flt1.qfsl.net
- ms.jifr.co.be
- ms.jifr.co.cc
- ms.jifr.info
- st.qfsl.net
- t.qfsl.net
・また、DDoSを仕掛ける前に接続を確認するため、GoogleのIPアドレスに接続します。
