Trojan Lurks, Yönetici Şifrelerini Çalmayı Bekliyor

parola hırsızı Truva atı programı, küçük bir sabrın çok fazla enfeksiyona yol açabileceğini ortaya koydu.

Yüzlerce bilgisayarını (isimsiz bir küresel otel zincirinde 14.000'den fazla kişi de dahil olmak üzere) enfekte etmeyi başardılar. sistem yöneticileri, virüs bulaşmış bilgisayarlara giriş yaptıktan sonra kötü amaçlı yazılımlarını ağ boyunca yaymak için bir Microsoft yönetim aracı kullanmalıdır.

Coreflood Trojan'ın arkasındaki suçlular, bankacılık ve aracılık hesabı kullanıcı adlarını ve şifrelerini çalmak için yazılımı kullanıyor. Güvenlik sağlayıcısı SecureWorks ile kötü amaçlı yazılım araştırması yöneticisi Joe Stewart'a göre, bu bilginin bulaştığı makinelerden 50G baytlık bir veri tabanı topladılar.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımlar nasıl kaldırılır]

"Bütün işletmeler boyunca yayıldılar" dedi. "Bu günlerde nadiren gördüğünüz bir şey var."

Microsoft, Windows XP Service Pack 2 yazılımını kilitli güvenlik özellikleriyle birlikte taşıdığından, bilgisayar korsanları kötü amaçlı yazılımları şirket ağları boyunca yaymanın yollarını bulmakta zorlanıyorlar. Yaygın solucan ya da virüs salgınları, yazılımın Ağustos 2004 sürümünün ardından kısa bir süre sonra düştü.

Ancak Coreflood bilgisayar korsanları, sistem yöneticilerinin bilgisayarlarında yasal yazılımları çalıştırmasına yardımcı olmak için yazılmış olan bir Microsoft programı olan PsExec adlı program sayesinde başarılı oldu. Ağlar

Yaygın bir enfeksiyon için, saldırganlar öncelikle kullanıcının programı indirmesini kandırmak suretiyle ağdaki bir sistemden taviz vermelidir. Daha sonra, bir sistem yöneticisi, rutin bakım gerçekleştirmek için bu masaüstü makinesine giriş yaptığında, örneğin kötü amaçlı yazılım, PsExec'i çalıştırmaya ve ağdaki diğer tüm sistemlere kötü amaçlı yazılım yüklemeye çalışır.

Çoğu zaman teknik başarılı olur.

Son 16 ayda, Coreflood'un yazarları 378.000'den fazla bilgisayara bulaştı. SecureWorks, üniversite ağlarında binlerce enfeksiyon tespit etti ve yüzlerce enfeksiyona sahip olan finans şirketleri, hastaneler, hukuk firmaları ve hatta ABD devlet polis teşkilatı kurdu. Stewart, "Tek bir şirkette yüzlerce ya da binlerce bilgisayara ne sıklıkla ulaştıklarını" söylüyor. "Muhtemelen kullanabileceklerinden çok daha fazla hesap çalmışlar."

SANS İnternet Fırtına Merkezi, 25 Haziran'da 3000 bilgisayar ağında 600 makineyi etkileyen enfeksiyonlardan birini bildirdi.

Kötü amaçlı programlar kullanıldı PsExec, beş yıldan uzun bir süredir yazılımın yaratıcısı Mark Russinovich'in Microsoft teknik üyesi olduğunu söyledi. Ancak bu, bu şekilde kullanıldığını ilk kez duymuştur. E-posta röportajında ​​"PsExec, bir kötü amaçlı yazılım yazarı kendisinin kodlayamayacağı ve hatta alternatif mekanizmalarla başaramayacağı hiçbir şeyi ortaya çıkarmaz" dedi. "Uzaktan erişim yoluyla size yerel yönetici hakları veren kimlik bilgilerine sahip olduğunuzda, bu sisteme sahip olursunuz."

Ayrıca, AFcore Truvaları olarak da bilinen Coreflood, yaklaşık altı yıldır. Stewart, geçmişte hizmet reddi saldırılarının başlatılması, parola çalmama gibi şeyler için kullanılmıştı, dedi Stewart.