Trojan Lurks, Venter på å stjele Admin Passord

Forfattere av en passord-stjele trojanske hesteprogram har funnet ut at litt tålmodighet kan føre til mange infeksjoner.

De har klart å infisere hundrevis av datamaskiner - inkludert mer enn 14 000 innen en ikke-navngitt global hotellkjede - ved å vente på systemadministratorer logger seg på infiserte PCer og bruker deretter et Microsoft-administrasjonsverktøy for å spre sin ondsinnede programvare i hele nettverket.

Kriminellene bak Coreflood Trojan bruker programvaren til å stjele bankkonto og meglerkonto brukernavn og passord. De har samlet en 50 G-byte database av denne informasjonen fra maskinene de har smittet, ifølge Joe Stewart, direktør for malwareforskning med sikkerhetsleverandøren SecureWorks.

[Ytterligere lesning: Slik fjerner du skadelig programvare fra din Windows-PC]

"De har vært i stand til å spre seg gjennom hele virksomheten," sa han. "Det er noe du sjelden ser i disse dager."

Siden Microsoft sendte sin Windows XP Service Pack 2-programvare med sine låste sikkerhetsfunksjoner, har hackere hatt det vanskelig å finne måter å spre skadelig programvare på gjennom bedriftsnettverk. Utbredt orm eller virusutbrudd falt snart etter programvarens utgivelse i august 2004.

Men Coreflood hackerne har vært vellykket, takket være et Microsoft-program kalt PsExec, som ble skrevet for å hjelpe systemadministratorer til å kjøre legitim programvare på datamaskiner på tvers av deres nettverk.

For en utbredt infeksjon må angriperne først kompromittere et system på nettverket ved å lure brukeren til å laste ned programmet deres. Når en systemadministrator logger inn på den stasjonære maskinen, for eksempel å utføre rutinemessig vedlikehold, forsøker den ondsinnede programvaren å kjøre PsExec og installerer skadelig programvare på alle andre systemer på nettverket.

Ofte går teknikken i gang.

Corefloods forfattere har de siste 16 månedene smittet over 378.000 datamaskiner. SecureWorks har talt tusenvis av infeksjoner i universitetets nettverk og har funnet finansielle selskaper, sykehus, advokatfirmaer og til og med et amerikansk statspolitimyndighet som har hatt hundrevis av infeksjoner. "Det er litt galskap hvor ofte de kommer på hundrevis eller tusenvis av datamaskiner på et enkelt selskap," sa Stewart. "De har sikkert stjålet langt mer kontoer enn de kan bruke."

SANS Internet Storm Center rapporterte en av infeksjonene, som rammet 600 maskiner på et 3000 PC-nettverk, 25. juni.

Ondsinnede programmer har brukt PsExec i mer enn fem år, sa programvarens skaperen, Mark Russinovich, en Microsoft teknisk stipendiat. Men dette er første gang han hadde hørt om at den ble brukt på denne måten. "PsExec avslører ikke noe som en malware forfatter ikke kan kodes seg selv eller selv utføre med alternative mekanismer," sa han i et e-postintervju. "Når du har legitimasjonsbeskrivelser som gir deg lokale adminrettigheter via fjerntilgang, eier du det systemet."

Coreflood, som også kalles AFcore Trojan, har eksistert i omtrent seks år. Det har tidligere vært brukt til slike ting som å lansere deial-of-service-angrep, men ikke å stjele passord, sa Stewart.