Trojan Lurks, Naghihintay na Magnanakaw ng Mga Password sa Admin

Mga manunulat ng isang Ang pagnanakaw ng password ay natagpuan na ang isang maliit na pasensya ay maaaring humantong sa isang pulutong ng mga impeksyon.

Nakamit nila ang infect ng daan-daang libo ng mga computer - kabilang ang higit sa 14,000 sa loob ng isang walang pangalan na pandaigdigang chain ng hotel - sa pamamagitan ng paghihintay mga administrator ng system upang mag-log papunta sa mga nahawaang PC at pagkatapos ay gumamit ng tool sa pamamahala ng Microsoft upang maikalat ang kanilang malisyosong software sa buong network.

Ang mga kriminal sa likod ng Coreflood Troyano ay gumagamit ng software upang magnakaw ng mga username at password ng pagbabangko at brokerage account. Nakuha nila ang 50G-byte na database ng impormasyong ito mula sa mga makina na na-impeksyon nila, ayon kay Joe Stewart, direktor ng research ng malware sa seguridad ng seguridad ng SecureWorks.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

"Nakakalat na nila ang buong negosyo," sabi niya. "Ito ay isang bagay na bihira mong makita ang mga araw na ito."

Dahil ang Microsoft ay nagpadala ng software ng Windows XP Service Pack 2 nito sa mga naka-lock na katangiang pang-seguridad, ang mga hacker ay nagkaroon ng isang mahirap na oras sa paghahanap ng mga paraan upang maikalat ang malisyosong software sa buong mga corporate network. Ang malaganap na uod o virus na pagbagsak sa lalong madaling panahon ay bumaba pagkatapos ng release ng software noong Agosto 2004.

Ngunit ang Coreflood hacker ay matagumpay, salamat sa bahagi sa isang programa ng Microsoft na tinatawag na PsExec, na isinulat upang tulungan ang mga administrador ng system na magpatakbo ng lehitimong software sa mga computer sa kabuuan ng kanilang mga network.

Para sa isang malawakang impeksiyon, ang mga attackers ay dapat munang ikompromiso ang isang sistema sa network sa pamamagitan ng pag-tricking sa gumagamit sa pag-download ng kanilang programa. Pagkatapos, kapag nag-log ang isang administrator ng system sa desktop machine na ito - upang magsagawa ng regular na pagpapanatili, halimbawa - sinusubukan ng malisyosong software na patakbuhin ang PsExec at mag-install ng malware sa lahat ng iba pang mga sistema sa network.

Kadalasan ang pamamaraan ay nagtagumpay. > Sa nakalipas na 16 na buwan, ang mga may-akda ni Coreflood ay may impeksyon na higit sa 378,000 mga computer. Binibilang ng SecureWorks ang libu-libong mga impeksiyon sa mga network ng unibersidad at natagpuan ang mga kumpanya sa pananalapi, mga ospital, mga kumpanya ng batas, at kahit isang ahensiya ng pulisya ng U.S. na may daan-daang mga impeksiyon. "Ito ay uri ng masiraan ng ulo kung gaano kadalas sila nakakakuha ng daan-daan o libu-libong mga computer sa iisang kumpanya," sabi ni Stewart. "Marahil na ninakaw nila ang higit pang mga account kaysa sa magagamit nila."

Ang SANS Internet Storm Center ay nag-ulat ng isa sa mga impeksiyon, na nakaapekto sa 600 machine sa isang 3,000 PC network, noong Hunyo 25.

Ginamit ng mga nakakahamak na programa PsExec sa loob ng higit sa limang taon, sinabi ng tagalikha ng software, si Mark Russinovich, isang teknikal na kapwa ng Microsoft. Gayunpaman, ito ang unang pagkakataon na narinig niya na ginagamit ito sa ganitong paraan. "Hindi nalalantad ng PsExec ang anumang bagay na hindi maaaring ma-code ng isang may-akda ng malware o kahit na magawa ang mga kahaliling mekanismo," sabi niya sa isang interbyu sa e-mail. "Kapag mayroon kang mga kredensyal na nagbibigay sa iyo ng mga lokal na karapatan ng admin sa pamamagitan ng malayuang pag-access, pagmamay-ari mo ang system na iyon."

Coreflood, na kilala rin bilang AFcore Troyano, ay nasa loob ng halos anim na taon. Ginagamit ito noong nakaraan para sa mga bagay na tulad ng paglulunsad ng mga pag-atake ng denial-of-service, ngunit hindi upang magnakaw ng mga password, sinabi ni Stewart.