Skoči na vsebino

Posledic črva Morto zaenkrat ni čutiti

Za potrebe analize omrežnega dogajanja smo na SI-CERTu vzpostavili t.i. darknet, s katerim opazujemo anomalije v omrežju. Tako smo v preteklih tednih svojo pozornost posvetili tudi dogajanju v zvezi s širitvijo črva Morto. Na črva in metode, ki jih uporablja za svojo širitev, smo javnost opozorili tudi preko obvestila.

Uporabljen način zaznave, ki beleži povezave v nedodeljen košček interneta, ne kaže izrazitega povečanja pregledovanja po odprtih vratih 3389. Slednjega uporablja protokol RDP, ki je sicer namenjen oddaljenemu dostopu do sistemov Windows. Za uspešno širitev črva Morto bi tako zaznali povečano pregledovanje po protokolu RDP, katerega izkorišča črv Morto za svojo širitev. Sklepamo, da razlog za nezaznavanje širitve tiči tudi v uporabljenem naboru gesel, ki je sorazmerno majhen in hkrati neznačilen za naše geografsko področje.

Na grafu je prikazana zabeležena aktivnost zaznanih povezav na vrata 3389 (TCP SYN paketi) v preteklih tednih (12. avg. do 9. sept. 2011). Tako na primer v predelu, kjer se stolpec povzpne vse do 12, torej ponazarja enako število zabeleženih povezav proti t.i. darknet omrežju. 

Preberite tudi

SI-CERT TZ017 / Analiza nalagalnika HijackLoader

Opis zlonamernega CAPTCHA preverjanja smo objavili v varnostnem obvestilu, ta tehnični zapis pa opisuje analizo in delovanje najpogosteje prenešenega nalagalnika v kombinaciji s tem tipom okužbe - HijackLoader.
Več

Spletni seminar o naprednih napadih na podjetja

Spletni seminar o sodobnih naprednih in ciljanih napadih družbenega inženiringa na organizacije.
Več

SI-CERT na vaji Locked Shields 2025 – pogled skozi oči tekmovalca

Slovenija je skupaj z ekipo Italije in Nacionalne garde ameriške zvezne države Kolorado sodelovala na največji in najzahtevnejši vaji kibernetske varnosti na svetu Locked Shields 2025. Skupna ekipa je osvojila odlično …
Več