Trojan Lurks, wachtend op beheerderswachtwoorden Admin

Schrijvers van een wachtwoord-stelen Trojan horse-programma heeft geconstateerd dat een beetje geduld kan leiden tot veel infecties.

Ze zijn erin geslaagd om honderdduizenden computers te infecteren - waaronder meer dan 14.000 binnen een naamloze wereldwijde hotelketen - door te wachten op systeembeheerders aanmelden bij geïnfecteerde pc's en vervolgens een Microsoft-beheertool gebruiken om hun schadelijke software over het netwerk te verspreiden.

De criminelen achter het Coreflood-trojan gebruiken de software om gebruikersnamen en wachtwoorden voor bank- en brokerage-accounts te stelen. Ze hebben een 50G-byte-database verzameld van deze informatie van de machines die ze hebben geïnfecteerd, volgens Joe Stewart, directeur van malwareonderzoek bij beveiligingsleverancier SecureWorks.

[Lees meer: ​​Hoe malware van je Windows-pc te verwijderen]

"Ze hebben zich door hele ondernemingen kunnen verspreiden," zei hij. "Dat is iets wat je tegenwoordig zelden ziet." Sinds Microsoft zijn Windows XP Service Pack 2-software met zijn vergrendelde beveiligingsfuncties heeft geleverd, hebben hackers moeite gehad om kwaadwillende software via bedrijfsnetwerken te verspreiden. Wijdverbreide worm- of virusuitbraken vielen al snel af na de release van de software van augustus 2004.

Maar de hackers van Coreflood zijn succesvol geweest, mede dankzij een Microsoft-programma met de naam PsExec, dat is geschreven om systeembeheerders te helpen bij het uitvoeren van legitieme software op computers netwerken.

Voor een wijdverspreide infectie moeten aanvallers eerst een systeem in het netwerk compromitteren door de gebruiker te misleiden om hun programma te downloaden. Wanneer een systeembeheerder zich aanmeldt op die desktopcomputer, bijvoorbeeld om routine-onderhoud uit te voeren, probeert de schadelijke software PsExec uit te voeren en malware te installeren op alle andere systemen in het netwerk.

Vaak lukt dit.

In de afgelopen 16 maanden hebben Coreflood-auteurs meer dan 378.000 computers besmet. SecureWorks heeft duizenden infecties geteld in universiteitsnetwerken en heeft financiële bedrijven, ziekenhuizen, advocatenkantoren en zelfs een politiebureau in de Verenigde Staten gevonden dat honderden infecties heeft gehad. "Het is een beetje gek hoe vaak ze honderden of duizenden computers binnen een bedrijf bereiken," zei Stewart. "Ze hebben waarschijnlijk veel meer accounts gestolen dan ze kunnen gebruiken."

Het SANS Internet Storm Center meldde op 25 juni een van de infecties die 600 machines op een 3.000 pc-netwerk hebben aangetast.

Schadelijke programma's hebben gebruikt PsExec voor meer dan vijf jaar, zei de maker van de software, Mark Russinovich, een technische medewerker van Microsoft. Dit is echter de eerste keer dat hij had gehoord dat het op deze manier werd gebruikt. "PsExec stelt niets bloot dat een malware-auteur niet zelf kan coderen of zelfs volbrengen met andere mechanismen", zei hij in een e-mailinterview. "Zodra u inloggegevens hebt die u lokale beheerdersrechten geven via externe toegang, hebt u dat systeem."

Coreflood, ook bekend als het AFcore-Trojaanse paard, bestaat ongeveer zes jaar. Het is in het verleden al gebruikt voor zaken als het lanceren van denial-of-service-aanvallen, maar niet om wachtwoorden te stelen, zei Stewart.