Sécurité Publié par le

Protégez-vous du ver Morto

Morto est un virus qui se propage via la fonction de Bureau à distance de Windows et qui infecte un PC connecté à internet ou à un réseau local insuffisamment sécurisé.
Le ver Morto se propage sans aucune intervention de l’utilisateur via le réseau informatique, puis explore le réseau à la recherche de nouvelles machines à infecter en tentant d’établir une connexion sur le port TCP 3389 (Bureau à distance) en tant qu’administrateur.


Morto utilise une liste de 37 mots de passe « faibles » (111, 123, 123456, 666666, admin, test, aaa, pass etc…).
Si Morto réussit à se connecter, Morto infecte votre ordinateur et se copie sur le disque dur sous différentas noms. Il modifie le Registre de Windows pour s’exécuter à chaque démarrage, tente de désactiver des antivirus et logiciels de sécurité les plus connus, et peut télécharger et installer d’autres programmes malicieux depuis des serveurs distants.
Il peut aussi recevoir à distance des instructions et être utilisé pour lancer des attaques par déni de service (DDoS).

La présence de Morto peut être diagnostiquée via la présence de certains fichiers.
Sur le serveur, il crée ainsi un lecteur réseau A: contenant un fichier unique, « a.dll ».
Sur les machines infectées, on trouvera toujours un « sens32.dll » dans le répertoire system32 et un autre, « cache.txt » dans le dossier « offline web pages » du répertoire Windows.

Alors si vous devez laisser ce service actif, pensez à utiliser un mot de passe fort.
Les utilisateurs n’ayant pas l’utilité du Bureau à distance peuvent désactiver temporairement ou définitivement cette fonction qui pose problème.

Sous XP suivez le chemin suivant pour désactiver la fonction de Bureau à distance :

menu Démarrer >>> Panneau de configuration >>> Système >>> onglet Utilisation à distance >>> décocher la case « Autoriser les utilisateurs à se connecter à distance à cet ordinateur »

Sous Windows Seven :

menu Démarrer >>> Panneau de configuration >>> Système et sécurité >>> Système >>> Paramètres système avancés >>> onglet Utilisation à distance >>> cocher « Ne pas autoriser les connexions à cet ordinateur »

About these ads


Laisser un commentaire

About these ads