Remote-Desktop-Connection À l'heure des chevaux de Troie et des bots, c'est un ver informatique qui fait parler de lui. Sa présence a été signalée par plusieurs sociétés de sécurité, certaines lui octroyant une tendance old-school.

C'est par exemple le cas de eEye Digital Security pour qui le dénommé Morto s'inscrit dans la mouvance de vers du début des années 2000 comme Sasser ou Blaster. Mais pour eEye Digital Security, personne ne devrait être compromis pas ce nuisible qualifié de " stupide ".

F-Secure a noté la présence du ver en relation avec une augmentation du trafic RDP ( port TCP 3389 ). Morto infecte les serveurs et postes de travail Windows, et utilise le protocole RDP comme vecteur de propagation. Remote Desktop Protocol est normalement utilisé pour la connexion à un serveur exécutant les Microsoft Terminal Services.

Microsoft a confirmé la menace mais fait pour le moment état d'un volume de rapports d'infections ou tentatives plutôt bas. Les principales victimes sont sous Windows XP. Surtout, la firme de Redmond précise bien qu'il n'y pas d'exploitation de vulnérabilité dans RDP. Si vulnérabilité il y a, elle est au niveau du choix des mots de passe.

Une fois une machine infectée, Morto commence par scanner des ordinateurs sur des réseaux locaux afin de déterminer ceux qui ont RDP activé. Lorsqu'il trouve un serveur Remote Desktop, Morto tente d'y accéder en tant qu'administrateur avec une batterie de mots de passe à tester. Des mots de passe peu robustes à l'image de admin, pass, 12345, abcd1234... qui sont liés à un nom d'utilisateur basique ( admin, root... ).

Dans son encyclopédie des malwares, Microsoft donne plus de détails sur Morto et souligne que le rôle des mots de passe dans la sécurité est trop souvent sous-estimé dans les réseaux d'entreprises notamment. Le conseil préventif de Microsoft est de choisir un mot de passe suffisamment complexe.