有媒体源引国外杀毒厂商F-Securer官方博客文章,称Windows远程桌面蠕虫morto正在传播,可能让黑客远程取得网友电脑控制权。金山毒霸在8月初已捕获该样本实施查杀,并且内置的防黑墙也可完全拦截黑客攻击。
据金山毒霸安全工程师介绍,这个被称作Morto的蠕虫病毒,是黑客攻击远程桌面服务的一种蠕虫病毒,其行为非常类似于中国黑客常用的3389批量抓鸡工具。今年8月初在中国境内已经出现该病毒,并且金山毒霸也率先实施了查杀。
图1 金山毒霸云数据库检索发现8月8日即可查杀Morto蠕虫病毒
“Morto蠕虫病毒会远程扫描开启了3389端口(远程服务通信端口)的计算机,猜解管理员弱口令。”金山毒霸安全工程师表示,如果远程计算机碰巧使用了简单易被猜解的口令,就会导致计算机被黑客远程控制,基本上网友电脑就任由黑客摆布。
专家指出,默认开启远程桌面服务的计算机数量很多,远程桌面服务是Windows系统管理的重要工具,系统管理员常使用远程桌面服务,对计算机进行远程管理。
图2 远程桌面管理的效果展示
因为远程服务功能十分强大,黑客最喜欢针对3389端口发起攻击。悲剧的是,在中国存在大量盗版组织发行的Windows操作系统,这些系统默认的管理员口令为空。这样的系统,非常容易被入侵。
金山毒霸工程师指出,为解决这些潜在的安全风险。金山毒霸2012内置了金山防黑墙,用以检测和拦截黑客远程攻击。从统计数据来看,有大约10%的计算机会经常被黑客远程扫描(扫描是入侵的前奏,用以发现可以入侵的弱点)。这些攻击已被金山防黑墙成功防御,因此,金山毒霸的用户不必担忧Morto蠕虫病毒。