Вирус избегает инфицирования файлов, находящихся в каталогах «windows», «winnt» и т.п.
Согласно сообщению Эдгардо Диаса (Edgardo Diaz), эксперта по информационной безопасности из Microsoft Malware Protection Center, в новой версии червя Morto , недавно обнаруженного на просторах Интернет, была реализована функция инфицирования файлов.
Напомним, что оригинальный вариант вредоносной программы был способен только на компрометацию протокола RDP (remote desktop protocol), при условии, что администратор использует слабый пароль.
В прошлом году эксперты Microsoft предупреждали , что скомпрометировав систему, Morto подключается к удаленному серверу для загрузки дополнительных программ и обновления собственных модулей. Кроме того, червь мог завершать процессы локально запущенных антивирусных приложений.
По данным Диаса, обновленная версия вируса заражает файлы с расширением «.exe», находящиеся на фиксированных и съемных носителях памяти, однако избегает инфицирования файлов, находящихся в каталогах «windows», «winnt», «qq», «Outlook», «System Volume Information» или «RECYCLER». Кроме того, Morto оставляет в зараженных файлах инфекционный маркер «PPIF».
Эксперт также призвал администраторов и пользователей использовать надежные пароли для своих учетных записей.