2011年9月6日,趋势科技全球防病毒研发暨技术支持中心(TrendLabs)监测发现,一种名为Morto的蠕虫病毒在全球爆发,并已于近日“潜入”中国区。该病毒主要利用Windows的远程桌面协议(Remote Desktop Protocol)进行传播,被感染的电脑将会以一种非常特别的方式进行拒绝服务攻击(DoS),同时扫描本地网络中允许远程桌面连接的电脑,再尝试以暴力破解的方式获取系统管理员账号,从而对受害电脑进行远程控制,具备较强的攻击力和破坏力。
图示:Morto蠕虫病毒家族全球感染情况
图示:Morto蠕虫病毒家族中国区感染情况
趋势科技全球防病毒研发暨技术支持中心的专家提示,蠕虫病毒近几年非常活跃甚至一度成为业界热点。Morto病毒的传播能力很强,会在系统内生成20多个线程,在网络中不停地进行DNS查询,向外部主机发送远程控制请求。其最特别之处是他的恶意代码会加密藏在注册表HKEY_LOCAL_MACHINESYSTEMWPA键值中,随后自动删除母体文件,传统防病毒软件基本无法察觉。由于其会自动连接到恶意网站自动更新自身组件,所以今后还会有出现变种的可能。
根据趋势科技全球防病毒研发暨技术支持中心提供的技术分析报告显示,Morto病毒主要感染Windows工作站和服务器。该病毒通过内置的密码本,会使用一系列常见的密码尝试暴力破解管理员密码。当成功登录后,该病毒将自身复制到新机中,终止与本地安全应用相关的进程,并继续其传播尝试。凡是被感染的电脑,都会变成肉鸡。
目前趋势科技已为多家被该病毒感染的企业提供了安全服务,并及时推出了专杀工具。用户在执行专杀工具后,可对Morto蠕虫病毒的服务进行有效清除,同时移除注册表中相关恶意内容,对系统进行加固并确保系统清洁。趋势科技提醒用户,对该病毒也可以进行手动清除:首先备份注册表,删除HKEY_LOCAL_MACHINESYSTEMWPA键值中所如图选定的内容,重启电脑后也可以清除该病毒。
趋势科技Morto蠕虫病毒专杀工具下载地址:
http://support.trendmicro.com.cn/Anti-Virus/Clean-Tool/WORM_Morto.SMA/MotoKiller.zip
趋势科技Morto蠕虫病毒专杀工具的免责声明
该工具由趋势科技中国区病毒实验室免费提供。该工具会尝试修复病毒修改和添加的注册表内容,并将发现的可疑可执行文件进行隔离。运行完后请重启计算机,以达到彻底清除的效果。由于病毒可能存在变种问题,趋势科技不保证该工具能解决所有该病毒的问题。如有多台计算机受影响,请先在小范围内测试。如在使用中发现问题,请和我们联系。
关于趋势科技(Trend Micro)
趋势科技是全球虚拟化及云计算安全的领导厂商,致力于保障企业及消费者交换数字信息环境的安全。趋势科技始终秉持技术革新的理念,基于业内领先的云计算安全技术(Smart Protection Network)核心技术架构,为全世界各地用户提供领先的整合式信息安全威胁管理技术能防御恶意软件、垃圾邮件、数据外泄以及最新的Web信息安全,保障信息与财产的安全。同时,遍布全球各地的1,200余名趋势科技安全专家可为各国家和地区的企业级个人用户提供7×24的全天候响应及技术支持服务。更多关于趋势科技公司及最新产品信息,请访问: www.trendmicro.com.cn。请访问Trend Watch:www.trendmicro.com/go/trendwatch查询最新的信息安全威胁的详细资讯。
[公关联系人]
许静Jessie_xu@trendmicro.com.cn
趋势科技(中国)有限公司