既に多くの記事や MMPC Blog (1, 2) でも取り上げられているので、ご存知の方も多いと思いますが、リモート デスクトップ接続を介して感染するワーム Worm:Win32/Morto.A. が8月の終わりごろ確認されました 。

このワームは、Windows の脆弱性は悪用せず、リモート デスクトップ接続で、よくある簡易なパスワードを使って (備考参照) ローカルネットワーク上の他の PC にログインし感染を試みるのが特徴です。一旦感染すると、システムは攻撃者に乗っ取られる可能性があります。また、感染を拡大するためローカル サブネット上の PC に総当り的に接続を試みるため、ネットワーク上に大量の RDP プロトコル (TCP ポート: 3389) のパケットが発生します。

マイクロソフトは、8 月 28 日にウイルス対策ソフトの定義ファイルを作成済みで、これを境に日本においてはマルウェアの感染状況が収束していることを確認しています。しかし、今後もリモート デスクトップ接続のような正規の通信で、脆弱なパスワードで侵入するようなマルウェアが発生する可能性が考えられます。そのようなマルウェアが発生した場合、セキュリティ更新プログラムを完璧に適用していたとしてもマルウェアの感染を防ぐことは困難です。そのため、パスワードの設定を見直し、管理者アカウントやユーザー アカウントのパスワードをより強固なものにすることをお勧めします。

対策方法 

  • 企業で Active Directory を導入している場合、[パスワードは、複雑���の要件を満たす必要がある] や [パスワードの長さ] などのパスワードポリシーやアカウントロックアウトのポリシーを適切に設定することをお勧めします。
    http://technet.microsoft.com/ja-jp/library/cc786468(WS.10).aspx 

備考

Worm:Win32/Morto.A. で利用されるアカウントとパスワード

 

アカウント

パスワード

1

actuser

adm

admin

admin2

administrator

aspnet

backup

computer

console

david

guest

john

owner

root

server

sql

support

support_388945a0

sys

test2

test3

user

user1

user5

*1234

0

111

123

369

1111

12345

111111

123123

123321

123456

168168

520520

654321

666666

888888

1234567

12345678

123456789

1234567890

%u%

%u%12

1234qwer

1q2w3e

1qaz2wsx

aaa

abc123

abcd1234

admin

admin123

letmein

pass

password

server

test

user