他们已经成功感染了成千上万台计算机 - 其中包括一家未命名的全球连锁酒店内的14,000多台计算机 - 等待系统管理员登录受感染的PC,然后使用Microsoft管理工具在整个网络中传播恶意软件。
Coreflood Trojan背后的罪犯正在使用该软件窃取银行和经纪账户的用户名和密码。根据安全厂商SecureWorks的恶意软件研究总监Joe Stewart的说法,他们已经从他们感染的机器中获得了这个信息的50G字节数据库。
[进一步阅读:如何从Windows PC中删除恶意软件]
“他们已经能够遍及整个企业,”他说。 “这是你现在很少看到的东西。”由于微软发布了其Windows XP Service Pack 2软件及其锁定的安全功能,黑客很难找到在企业网络中传播恶意软件的方法。该软件的2004年8月发布后,蠕虫或病毒的大爆发很快就消失了
但是,Coreflood黑客已经成功,部分归功于一个名为PsExec的微软程序,该程序的编写目的是帮助系统管理员在计算机上运行合法软件网络。
对于普遍的感染,攻击者必须首先通过欺骗用户下载他们的程序来危害网络系统。然后,当系统管理员登录到该桌面计算机上(例如执行例行维护)时,恶意软件会尝试运行PsExec并在网络上的所有其他系统上安装恶意软件。
通常,该技术会成功
在过去的16个月中,Coreflood的作者感染了超过378,000台电脑。 SecureWorks已经计算了大学网络中的数千次感染,并且发现有数百次感染的金融公司,医院,律师事务所,甚至是美国国家警察机构。斯图尔特说:“他们在单个公司的数百台或数千台计算机上使用的频率有点疯狂。” “他们可能盗用了远远超过他们可以使用的帐户。”
SANS互联网风暴中心在6月25日报告了其中一种感染,它影响了3000台PC网络中的600台机器。
恶意程序使用过PsExec超过五年,该软件的创建者,微软技术人员Mark Russinovich说。不过,这是他第一次听说它以这种方式被使用。 “PsExec并未公开任何恶意软件作者无法自行编码或者使用其他机制完成的任何事情,”他在电子邮件采访中说。 “一旦你拥有通过远程访问为你提供本地管理权限的凭证,你就拥有了该系统。”
Coreflood,也被称为AFcore特洛伊木马,已有六年左右的历史。它在过去曾被用于诸如启动拒绝服务攻击之类的事情,但不会窃取密码,“Stewart说,”