RDP爆破蠕虫Morto

Posted on

病毒现象

  1. 主机有大量对同网段主机的3389连接。
  2. C:\Windows\offline web pages目录下有cache.txt文件。

病毒处置

  1. 删除标记的所有键值,只保留默认的
    avatar
  2. 使用tcpview工具可确定爆破3389的svchost.exe进程,再在任务管理器中结束这个svchost.exe进程
  3. 删除C:\Windows\offline web pages\cache.txt
  4. 删除成功后重启电脑确认是否还存在该病毒
  5. 更改用户登录密码,通过设置高强度密码避免再次被RDP爆破

病毒详情

https://www.freebuf.com/news/167365.html