Trojan Lurks, Waiting to Steal Admin Пароли

Писатели воровство паролей, программа троянских коней обнаружила, что небольшое терпение может привести к множеству инфекций.

Им удалось заразить сотни тысяч компьютеров - в том числе более 14 000 в рамках одной неназванной глобальной сети отелей - ожидая системные администраторы для входа на зараженные ПК, а затем с помощью средства администрирования Microsoft для распространения своего вредоносного ПО по всей сети.

Преступники троянов Coreflood используют программное обеспечение для кражи банковских и брокерских учетных записей и паролей. По словам Джо Стюарта (Joe Stewart), директора по исследованиям вредоносных программ с поставщиком безопасности SecureWorks, они собрали 50-байтовую базу данных этой информации.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

«Они смогли распространяться по всем предприятиям», - сказал он. «Это то, что вы редко видите в эти дни».

Поскольку Microsoft отгрузила программное обеспечение Windows XP с пакетом обновления 2 с заблокированными функциями безопасности, хакерам было трудно найти способы распространения вредоносного программного обеспечения в корпоративных сетях. Широко распространенные черви или вирусные эпидемии вскоре упали после выпуска программного обеспечения в августе 2004 г.

Но хакеры Coreflood были успешными, частично благодаря программе Microsoft под названием PsExec, которая была написана, чтобы помочь системным администраторам запускать законное программное обеспечение на компьютерах через свои сетей.

Для широко распространенной инфекции злоумышленники должны сначала скомпрометировать систему в сети, обманув пользователя в загрузке своей программы. Затем, когда системный администратор входит в систему на этом настольном компьютере - например, для выполнения обычного обслуживания - вредоносное ПО пытается запустить PsExec и устанавливать вредоносное ПО во всех других системах в сети.

Часто метод преуспевает.

За последние 16 месяцев авторы Coreflood заразили более 378 000 компьютеров. SecureWorks подсчитала тысячи инфекций в университетских сетях и нашла финансовые компании, больницы, юридические фирмы и даже государственное полицейское агентство США, у которых было сотни инфекций. «Это безумие, как часто они попадают на сотни или тысячи компьютеров в одной компании», - сказал Стюарт. «Вероятно, они украли гораздо больше учетных записей, чем они могут использовать».

25 июня в SANS Internet Storm Center сообщалось об одной из инфекций, которая затронула 600 машин на 3000 ПК-сетях.

Вредоносные программы использовали PsExec уже более пяти лет, сказал разработчик программного обеспечения Марк Руссинович, технический специалист Microsoft. Тем не менее, это первый раз, когда он слышал о том, что он используется таким образом. «PsExec не раскрывает ничего, что автор вредоносного ПО не может сам кодировать или даже выполнять с помощью альтернативных механизмов», - сказал он в интервью по электронной почте. «После того, как у вас есть учетные данные, которые дают вам права локального администратора через удаленный доступ, вам принадлежит эта система».

Coreflood, также известный как Trojan-AFcore, существует около шести лет. Стюарт сказал, что он использовался в прошлом для таких вещей, как запуск атак типа «отказ в обслуживании», но не кража паролей.