Trojan Mengintai, Menunggu untuk Mencuri Kata Sandi Admin

Penulis sebuah program kuda Trojan yang mencuri kata sandi telah menemukan bahwa sedikit kesabaran dapat menyebabkan banyak infeksi.

Mereka telah berhasil menginfeksi ratusan ribu komputer - termasuk lebih dari 14.000 dalam satu jaringan hotel global tanpa nama - dengan menunggu administrator sistem untuk masuk ke PC yang terinfeksi dan kemudian menggunakan alat administrasi Microsoft untuk menyebarkan perangkat lunak jahat mereka di seluruh jaringan.

Para penjahat di belakang Trojan Coreflood menggunakan perangkat lunak untuk mencuri nama pengguna dan kata sandi akun dan broker. Mereka telah mengumpulkan basis data 50G-byte dari informasi ini dari mesin yang telah mereka infeksi, menurut Joe Stewart, direktur penelitian malware dengan vendor keamanan SecureWorks.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Mereka telah mampu menyebar ke seluruh perusahaan," katanya. "Itu sesuatu yang jarang Anda temui hari-hari ini."

Sejak Microsoft mengirimkan perangkat lunak Windows XP Paket Layanan 2 dengan fitur keamanannya yang terkunci, peretas mengalami kesulitan menemukan cara untuk menyebarkan perangkat lunak berbahaya ke seluruh jaringan perusahaan. Worm yang tersebar luas atau wabah virus segera turun setelah rilis perangkat lunak Agustus 2004.

Tetapi peretas Coreflood telah berhasil, sebagian berkat program Microsoft yang disebut PsExec, yang ditulis untuk membantu administrator sistem menjalankan perangkat lunak yang sah pada komputer di seluruh mereka. jaringan.

Untuk infeksi yang tersebar luas, penyerang pertama-tama harus berkompromi dengan sistem di jaringan dengan menipu pengguna agar mengunduh program mereka. Kemudian, ketika administrator sistem masuk ke mesin desktop - untuk melakukan perawatan rutin, misalnya - perangkat lunak jahat mencoba menjalankan PsExec dan menginstal malware pada semua sistem lain di jaringan.

Seringkali teknik berhasil.

Selama 16 bulan terakhir, penulis Coreflood telah menginfeksi lebih dari 378.000 komputer. SecureWorks telah menghitung ribuan infeksi di jaringan universitas dan telah menemukan perusahaan keuangan, rumah sakit, firma hukum, dan bahkan lembaga kepolisian negara bagian AS yang telah memiliki ratusan infeksi. "Agak gila seberapa sering mereka mendapatkan ratusan atau ribuan komputer di satu perusahaan," kata Stewart. "Mereka mungkin telah mencuri lebih banyak akun daripada yang bisa mereka gunakan."

Pusat Badai Internet SANS melaporkan salah satu infeksi, yang mempengaruhi 600 mesin pada jaringan 3.000 PC, pada 25 Juni.

Program jahat telah menggunakan PsExec selama lebih dari lima tahun, kata pembuat perangkat lunak, Mark Russinovich, seorang rekan teknis Microsoft. Namun, ini adalah pertama kalinya dia mendengarnya digunakan dalam mode ini. "PsExec tidak memaparkan apa pun yang tidak dapat dikodekan oleh pembuat malware, atau bahkan diselesaikan dengan mekanisme alternatif," katanya dalam wawancara e-mail. "Setelah Anda memiliki kredensial yang memberi Anda hak admin lokal melalui akses jarak jauh, Anda memiliki sistem itu."

Coreflood, yang juga dikenal sebagai Trojan AFcore, telah ada selama sekitar enam tahun. Ini telah digunakan di masa lalu untuk hal-hal seperti meluncurkan serangan denial-of-service, tetapi tidak untuk mencuri kata sandi, kata Stewart.