Ungeklärt

Möglicherweise neue Variante des Morto-Wurms im Umlauf

Nachdem der RDP-Wurm Morto im letzten Monat aufgetaucht ist, richtet sich das Augenmerk auf RDP-Scans.

Ein Leser des Sans Internet Storm Center hat die Sicherheits-Experten darauf aufmerksam gemacht, dass er möglicherweise eine neue Version von Morto gefunden hat. Der Virenscanner hat den Wurm nicht erkannt und er ist auch nicht unter c:Windows\temp\scvhosts.exe, wie Morto, zu finden.

Allerdings ist der erhöhte Netzwerkverkehr auf dem RDP-Port 3389/tcp verdächtig. Bisher war der Anwender nicht in der Lage den Prozess zu identifizieren, der für die Port-Scans verantwortlich ist. Wer ein ähnliches Phänomen beobachtet, möchte sich an SANS wenden. (jdo)