Trojan Lurks, Menunggu Mencuri Kata Sandi Admin

Writers of a program kuda Trojan yang mencuri kata laluan telah mendapati bahawa sedikit kesabaran boleh menyebabkan banyak jangkitan.

Mereka telah berjaya menjangkiti beratus-ratus ribu komputer - termasuk lebih daripada 14,000 dalam satu rantaian hotel global tanpa nama - dengan menunggu pentadbir sistem untuk log masuk ke PC yang dijangkiti dan kemudian menggunakan alat pentadbiran Microsoft untuk menyebarkan perisian berniat jahat mereka ke seluruh rangkaian.

Penjenayah di sebalik Coreflood Trojan menggunakan perisian untuk mencuri nama pengguna dan kata laluan perbankan dan pembrokeran. Mereka telah mengumpulkan pangkalan data 50G-byte dari maklumat ini dari mesin-mesin yang mereka jangkakan, menurut Joe Stewart, pengarah penyelidikan malware dengan penjual keselamatan SecureWorks.

[Bacaan lanjut: Cara menghapus malware dari PC Windows Anda]

"Mereka telah dapat menyebarkan seluruh perusahaan," katanya. "Ini adalah sesuatu yang anda jarang melihat hari ini."

Sejak Microsoft menghantar perisian Windows XP Service Pack 2nya dengan ciri keselamatannya yang terkunci, penggodam mengalami kesukaran untuk mencari cara untuk menyebarkan perisian jahat ke seluruh rangkaian korporat. Worm cacing atau wabak yang meluas akan segera jatuh selepas pelepasan perisian Ogos 2004.

Tetapi penggodam Coreflood telah berjaya, terima kasih sebahagiannya kepada program Microsoft yang dipanggil PsExec, yang ditulis untuk membantu pentadbir sistem menjalankan perisian yang sah pada komputer merentas mereka rangkaian

. Bagi jangkitan yang meluas, penyerang mesti terlebih dahulu berkompromi sistem pada rangkaian dengan menipu pengguna untuk memuat turun program mereka. Kemudian, apabila pentadbir sistem log masuk ke mesin desktop itu - untuk melakukan penyelenggaraan rutin, contohnya - perisian berniat jahat cuba menjalankan PsExec dan memasang malware pada semua sistem lain pada rangkaian.

Sering tekniknya berjaya. > Selama 16 bulan yang lalu, penulis Coreflood telah menjangkiti lebih daripada 378,000 komputer. SecureWorks telah mengira beribu-ribu jangkitan di rangkaian universiti dan telah menemui syarikat kewangan, hospital, firma undang-undang, dan juga sebuah agensi polis negara A.S. yang telah beratus-ratus jangkitan. "Ia agak gila berapa kerap mereka beratus-ratus atau beribu-ribu komputer di satu syarikat," kata Stewart. "Mereka mungkin telah mencuri jauh lebih banyak akaun daripada yang dapat mereka gunakan."

SANS Internet Storm Center melaporkan salah satu jangkitan, yang menjejaskan 600 mesin pada rangkaian 3,000 PC, pada 25 Jun.

Program berniat jahat telah digunakan PsExec selama lebih daripada lima tahun, kata pencipta perisian, Mark Russinovich, rakan teknis Microsoft. Walau bagaimanapun, inilah kali pertama dia mendengarnya digunakan dalam cara ini. "PsExec tidak mendedahkan apa-apa yang pengarang malware tidak boleh kodkan diri mereka sendiri atau bahkan mencapai dengan mekanisme alternatif," katanya dalam temu bual e-mel. "Sebaik sahaja anda mempunyai kelayakan yang memberikan hak pentadbiran tempatan anda melalui akses jauh, anda memiliki sistem itu."

Coreflood, yang juga dikenali sebagai AFcore Trojan, telah wujud sekitar enam tahun. Ia telah digunakan pada masa lalu untuk perkara-perkara seperti melancarkan serangan denial-of-service, tetapi tidak mencuri kata laluan, kata Stewart.