Hello les kidz, Histoire de blogger vite fait, un nouveau worm vient de voir le jour : Morto.

F-Secure et Microsoft nous fournissent quelques informations intéressantes.

Ce que j'en retiens :

  • Une fois qu'il arrive sur un réseau, il scanne tout le réseau local pour trouver des machines acceptant les connexion RDP. Du coup, il génère beaucoup de trafic sur le port 3389/TCP (RDP), ce qui le rend facilement détectable.
  • Une fois une machine trouvée, il tente de bruteforcer l'Admin avec une liste de mots de passe bien générique, non sans rappeller celle de Conficker/Downadup à l'époque.
  • Sur un poste infecté, la présence de 2 fichiers en particulier doit mettre la puce à l'oreille quant à une infection: \windows\system32\sens32.dll et \windows\offline web pages\cache.txt
  • Pour le moment, une autre méthode de détection pourrait être de tester des connexions vers les domaines jaifr.com et qfsl.net (command&control du worm), mais cela reste très temporaire, les contrôleurs de tels bots changeant en général très fréquemment de c&c.

Le but final est de disposer d' une bonne backdoor sur les machines infectées, ce qui permet notamment de dropper d'autres malware (allez, au hasard, du rogue AV ou du troyen), ou voler de l'information (parce qu'il faut bien entretenir la peur des APT), ou encore lancer des attaques DDoS (très tendance...).

Bonne rentrée à tous ;-)