Trojan Lurks, väntar på att stjäla Admin-lösenord

Författare av en lösenordsstalande trojanska hästprogram har funnit att lite tålamod kan leda till många infektioner.

De har lyckats infektera hundratusentals datorer - inklusive mer än 14 000 inom en namngiven global hotellkedja - genom att vänta på systemadministratörer loggar in på infekterade datorer och använder sedan ett Microsoft-administrationsverktyg för att sprida sin skadliga programvara över hela nätverket.

De brottslingar bakom Coreflood Trojan använder programvaran för att stjäla användarnamn och lösenord för bank- och mäklarekonton. De har samlat en databas med 50 G-byte av denna information från de maskiner som de har infekterat, enligt Joe Stewart, chef för skadlig kodforskning med säkerhetsleverantören SecureWorks.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

"De har kunnat sprida sig över hela företagen," sa han. "Det är något du sällan ser idag." Eftersom Microsoft skickade sin Windows XP Service Pack 2-programvara med sina låsta säkerhetsfunktioner, har hackare svårt att hitta sätt att sprida skadlig programvara genom företagsnätverk. Utbredd mask- eller virusutbrott släpptes snart efter programmets frigöring i augusti 2004.

Men Coreflood hackersna har blivit framgångsrika, delvis tack vare ett Microsoft-program som heter PsExec, som skrevs för att hjälpa systemadministratörer att köra legitim mjukvara på datorer över deras nätverk.

För en utbredd infektion måste attackerna först kompromissa med ett system på nätverket genom att lura användaren att ladda ner sitt program. När en systemadministratör loggar in på den stationära maskinen, för att utföra rutinunderhåll, försöker den skadliga programvaran att köra PsExec och installera skadlig kod på alla andra system i nätverket.

Ofta lyckas tekniken.

Corefloods författare har under de senaste 16 månaderna infekterat mer än 378 000 datorer. SecureWorks har räknat tusentals infektioner i universitetsnätverk och har hittat finansiella företag, sjukhus, advokatbyråer och till och med en amerikansk statlig polisbyrå som har haft hundratals infektioner. "Det är så vansinnigt hur ofta de kommer på hundratals eller tusentals datorer i ett enda företag," sa Stewart. "De har antagligen stulit mycket mer konton än de kan använda."

SANS Internet Storm Center rapporterade en av de infektioner som påverkade 600 maskiner på ett 3000-datornätverk den 25 juni.

Skadliga program har använt PsExec i mer än fem år, sa programvarans skapare, Mark Russinovich, en teknisk teknisk kollega från Microsoft. Men det här är första gången han hört att den används på detta sätt. "PsExec avslöjar inte någonting som en malware författare inte kan koda sig eller ens utföra med alternativa mekanismer," sa han i en e-post intervju. "När du har behörighetsuppgifter som ger dig lokala administrativa rättigheter via fjärråtkomst, äger du det systemet."

Coreflood, som även kallas AFcore Trojan, har funnits i ungefär sex år. Det har tidigare använts för sådana saker som att lansera attacker för avslag mot beteende, men inte att stjäla lösenord, sade Stewart.