Trend Micro uzmanları, özellikle Asya-Pasifik bölgesinde sürekli yayılmak için uzaktan masaüstü protokolü (RDP) kullanan kötücül yazılımlarla ilgili virüs raporları aldıklarını açıkladı.

WORM_MORTO.SMA olarak saptanan solucan, Windows dosyasına bir DLL dosyası da dahil olmak üzere sisteme bileşenlerini yerleştiriyor. Clb.dll isimli bu DLL dosyası için bir yükleyici gibi davranıyor ve Windows dosyasına kendi clb.dll dosyasını yerleştirerek Windows’un dosyaları bulması sağlanıyor. Gerçek clb.dll dosyalarıyla Windows, sistemden önce Windows dosyalarını yükler. Kötücül yazılımın .DLL dosyaları ise regedit.exe devreye girdiği zaman yükleniyor.

WORM_MORTO.SM yüklendiğinde, kötücül yazılımın bileşenlerini içeren bir dosyayı açıyor. Etkilenmiş olan sistemle bütünleşen Uzak Masaüstü Sunucuları’nı arıyor ve daha önceden belirlenmiş şifreleri kullanarak bir yönetici (admin) gibi giriş yapmaya kalkışıyor. Bir kere başarılı bir bağlantı kurduğu anda, sistemde geçici bir yerde WORM_MORTO.SM kopyasını bırakıyor.

Şunu unutmamak gerekiyor ki, siber suçlular sisteme RDP aracılığıyla bağlandığı zaman dosya bırakmak yaptıkları tek iş olmuyor. Bu yapı kullanıcının tüm sisteme uzaktan erişimi için tasarlanmış durumda. Böylece siber suçlu sisteme girebiliyor.

Karl Dominguez, bu saldırı sayesinde kötücül yazılım admin hesabını kullandığı için saldırganın etkilenmiş olan sistem ve tüm ağ üzerinde tam kontrol sağladığını belirtiyor. Bu noktada sistemde, bilgi hırsızlığı dahil herhangi bir etkinlik yapılabiliyor. Özellikle kötücül yazılım sunuculara sızmışsa.

Trend Micro kullanıcıları, WORM_MORTO.SMA ve WORM_MORTO.SM olarak saptanan dosyalarda olduğu gibi, bu tehdide karşı da koruma altındalar. Buna ek olarak bu kötücül yazılımın sunuculara erişmek için kullandığı linkler de engellenmiş durumda.

Trend Micro uzmanları bu ve bunun gibi tehditlerden korunmak için kullanıcılara bulunması zor, güçlü şifreler kullanmalarını ve güvenlik duvarlarını (firewall) devreye almalarını öneriyor. Ağ adminlerine ise kullanıcılara Uzaktan Masaüstü Bağlantısı (Remote Deskto Connection) kullanımı için izin vermeden önce güvenli VPN bağlantısını zorunlu tutmaları tavsiye ediliyor.