Il trojan si nasconde, in attesa di rubare le password di amministratore

Scrittori di un il programma di Trojan per rubare le password ha scoperto che un po 'di pazienza può portare a molte infezioni.

Sono riusciti a infettare centinaia di migliaia di computer - inclusi oltre 14.000 all'interno di una catena di hotel globale senza nome - aspettando amministratori di sistema per accedere ai PC infetti e quindi utilizzare uno strumento di amministrazione Microsoft per diffondere il loro software dannoso attraverso la rete.

I criminali dietro il Coreflood Trojan utilizzano il software per rubare i nomi utente e le password degli account bancari e di intermediazione. Hanno accumulato un database di 50G byte di queste informazioni dalle macchine che hanno infettato, secondo Joe Stewart, direttore della ricerca sui malware con il fornitore di sicurezza SecureWorks.

[Ulteriori informazioni: Come rimuovere il malware dal tuo PC Windows]

"Sono stati in grado di diffondersi in tutte le intere imprese", ha affermato. "È qualcosa che raramente vedi in questi giorni".

Da quando Microsoft ha distribuito il suo software Windows XP Service Pack 2 con le sue funzionalità di sicurezza bloccate, gli hacker hanno avuto difficoltà a trovare modi per diffondere software dannoso attraverso le reti aziendali. Gli attacchi di worm o virus diffusi sono presto scomparsi dopo la versione dell'agosto 2004 del software.

Ma gli hacker di Coreflood hanno avuto successo, grazie in parte a un programma Microsoft chiamato PsExec, che è stato scritto per aiutare gli amministratori di sistema a eseguire software legittimi su computer reti.

Per un'infezione diffusa, gli utenti malintenzionati devono prima compromettere un sistema sulla rete ingannando l'utente nel download del proprio programma. Quindi, quando un amministratore di sistema accede a tale computer desktop, ad esempio per eseguire la manutenzione ordinaria, il software dannoso tenta di eseguire PsExec e installa il malware su tutti gli altri sistemi sulla rete.

Spesso la tecnica ha successo.

Negli ultimi 16 mesi, gli autori di Coreflood hanno infettato più di 378.000 computer. SecureWorks ha contato migliaia di infezioni nelle reti universitarie e ha trovato società finanziarie, ospedali, studi legali e persino un'agenzia di polizia statale degli Stati Uniti che ha avuto centinaia di infezioni. "È un po 'folle quanto spesso stanno ottenendo centinaia o migliaia di computer in una singola azienda", ha detto Stewart. "Probabilmente hanno rubato molti più account di quanti ne possano usare."

Il SANS Internet Storm Center ha segnalato una delle infezioni, che ha colpito 600 macchine su una rete di 3.000 PC, il 25 giugno.

I programmi dannosi hanno usato PsExec per più di cinque anni, ha detto il creatore del software, Mark Russinovich, un collega tecnico di Microsoft. Tuttavia, questa è la prima volta che ne ha sentito parlare in questo modo. "PsExec non espone nulla che un autore di malware non possa codificare autonomamente o addirittura realizzare con meccanismi alternativi", ha affermato in un'intervista via e-mail. "Una volta che hai credenziali che ti danno i diritti di amministratore locale tramite accesso remoto, sei il proprietario di quel sistema."

Coreflood, che è anche conosciuto come il Trojan AFcore, è in circolazione da circa sei anni. È stato usato in passato per cose come lanciare attacchi denial-of-service, ma non per rubare password, ha detto Stewart.