Le ver Morto infecte par le bureau à distance

2009-02-22_174733.png Morto n'est pas une saucisse mais un des nouveaux virus qui fait parler de lui depuis hier et est classé en rouge par Secuser (avant dernier palier). Le mode de propagation n'est pas habituel, car il se connecte en utilisant la fonction de Bureau à distance de Windows (Remote Desktop Protocol).

Le ver scanne le réseau automatiquement sur le port TCP 3389 (celui du Bureau à distance) et tente une connexion en administrateur avec une série de mots de passe vulnérables et classiques (1234, admin, admin123, etc.).

Une fois en place, il désactive la plupart des logiciels de protection connus et télécharge des programmes malveillants.

Si vous n'utilisez pas cette fonction, vous pouvez désactiver le bureau à distance. Pour Windows XP : menu Démarrer, Panneau de configuration, Système, onglet "Utilisation à distance", et vous décochez la case "Autoriser les utilisateurs à se connecter à distance à cet ordinateur".

Pour Windows 7 : menu Démarrer, Panneau de configuration, Système et sécurité, Système, Paramètres système avancés, onglet "Utilisation à distance", cochez "Ne pas autoriser les connexions à cet ordinateur" et décochez l'autre case au dessus.


Plus d'infos sur Secuser

Commentaires

1. Le lundi, août 29 2011, 13:38 par arnob

pour moi sous 7 c'est

"décochez la case "Autoriser les utilisateurs à se connecter à distance à cet ordinateur"."

2. Le lundi, août 29 2011, 16:04 par Falkra

J'ai fait la copie d'écran son mon W7 SP1, merci pour la variante. :)

3. Le lundi, août 29 2011, 16:48 par hapax

suis également W7 SP1 et j'ai la même chose qu'arnob...
http://imageshack.us/photo/my-image...

4. Le lundi, août 29 2011, 17:00 par Falkra

J'ai W7 version intégrale, ça peut venir de là.

5. Le lundi, août 29 2011, 19:19 par hapax

frimeur...

6. Le mardi, août 30 2011, 02:15 par Tomette

même chose que Falkra sur mon W7 v intégrale aussi ^^

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

Fil des commentaires de ce billet