Trojan lurks odottaa varastaa hallintasolasanat

salasanan varastamisen Troijan hevosohjelma on havainnut, että pieni kärsivällisyys voi johtaa paljon tartuntoja.

He ovat onnistuneet tartuttamaan satoja tuhansia tietokoneita - mukaan lukien yli 14 000 yhden tunnistamattoman maailmanlaajuisen hotelliketjun - odottamassa järjestelmän ylläpitäjät kirjautuvat tartunnan saaneisiin tietokoneisiin ja käyttävät sitten Microsoftin hallintatyökalua haittaohjelmien levittämiseen koko verkostossa.

Coreflood Trojanin rikolliset käyttävät ohjelmistoa pankki- ja välityspalvelimen käyttäjätunnusten ja salasanojen varastamiseen. He ovat keränneet 50G-tavuisen tietokannan näistä tiedoista koneistasi, joille he ovat saaneet tartunnan, mukaan tietoturvamyyjän SecureWorksin haittaohjelmatutkimuksen johtaja Joe Stewartin mukaan.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

"He ovat voineet levitä koko yrityksille", hän sanoi. "Tämä on jotain, jota näet harvoin näinä päivinä."

Koska Microsoft toimitti Windows XP Service Pack 2 -ohjelmistonsa lukittujen suojaustoimintojensa avulla, hakkerit ovat joutuneet etsimään tapoja levittää haittaohjelmia koko yritysverkoissa. Laajamittaiset mato- tai virusepidemot pian pudotettiin ohjelmiston elokuun 2004 julkaisun jälkeen.

Coreflood-hakkerit ovat kuitenkin onnistuneet, osittain Microsoft-ohjelmaa nimeltä PsExec, joka on kirjoitettu auttamaan järjestelmänvalvojia käyttämään laillista ohjelmistoa verkkoihin.

Laajalle levinneelle tartunnalle hyökkääjän on ensin kompromissi verkossa verkosta huijaamalla käyttäjää lataamaan ohjelmansa. Kun järjestelmänvalvoja kirjautuu sitten työpöydän koneeseen - esimerkiksi tekemällä rutiinihuoltoa - haittaohjelmat yrittävät käyttää PsExecia ja asentaa haittaohjelman kaikkiin muihin verkossa oleviin järjestelmiin.

Usein tekniikka onnistuu.

Viimeisten 16 kuukauden aikana Corefloodin kirjoittajat ovat tarttuneet yli 378 000 tietokoneeseen. SecureWorks on laskenut tuhansia infektioita yliopistoverkostoissa ja löytänyt rahoituslaitoksia, sairaaloita, asianajotoimistoja ja jopa Yhdysvaltojen valtion poliisivirastoa, jolla on satoja tartuntoja. "Se on niin hullua, kuinka usein he saavat satoja tai tuhansia tietokoneita yhdestä yrityksestä", Stewart sanoi. "He ovat luultavasti varastaneet paljon enemmän tilejä kuin he voivat käyttää."

SANS Internet Storm Center raportoi eräästä infektiosta, joka vaikutti 600 koneeseen 3000 PC-verkossa 25. kesäkuuta.

Haitalliset ohjelmat ovat käyttäneet PsExec yli viisi vuotta, sanoi ohjelmiston luoja, Mark Russinovich, Microsoftin tekninen mies. Tämä on kuitenkin ensimmäinen kerta, kun hän kuuli sen käyttämisestä tällä tavalla. "PsExec ei altista mitään, jota haittaohjelmien tekijä ei voi koodata itseään tai jopa tehdä vaihtoehtoisia mekanismeja", hän sanoi sähköpostin haastattelussa. "Kun sinulla on tunnisteet, jotka antavat sinulle paikallisia järjestelmänvalvojan oikeuksia etäyhteyden kautta, olet kyseinen järjestelmä."

Coreflood, joka tunnetaan myös nimellä AFcore Trojan, on ollut noin kuusi vuotta. Se on aikaisemmin käytetty sellaisten asioiden kuin palvelunestohyökkäysten käynnistämisessä, mutta Stewart ei ole varannut salasanoja.