Trojaner lauert und wartet Admin-Passwörter

Writer von a Trojanische Pferde Programm haben herausgefunden, dass ein wenig Geduld zu einer Menge von Infektionen führen kann.

Sie haben es geschafft, Hunderttausende von Computern - darunter mehr als 14.000 in einer unbenannten globalen Hotelkette - zu infizieren Systemadministratoren melden sich bei infizierten PCs an und verwenden dann ein Microsoft-Administrationstool, um ihre bösartige Software im Netzwerk zu verbreiten.

Die Kriminellen hinter dem Coreflood-Trojaner verwenden die Software, um Benutzernamen und Kennwörter von Bank- und Brokerkonten zu stehlen. Laut Joe Stewart, Direktor für Malware-Forschung beim Sicherheitsanbieter SecureWorks, haben sie eine 50-GByte-Datenbank mit diesen Informationen von den infizierten Computern erstellt.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

"Sie konnten sich in ganzen Unternehmen ausbreiten", sagte er. "Das ist heutzutage selten anzutreffen."

Seit Microsoft seine Windows XP Service Pack 2-Software mit gesperrten Sicherheitsfunktionen ausgeliefert hat, fiel es Hackern schwer, Wege zu finden, bösartige Software in Unternehmensnetzwerken zu verbreiten. Nach der Veröffentlichung der Software vom August 2004 gingen die Wurm- oder Virusausbrüche schnell zurück.

Die Coreflood-Hacker waren jedoch erfolgreich, unter anderem dank eines Microsoft-Programms namens PsExec, das Systemadministratoren bei der Ausführung legaler Software auf Computern half Netzwerke.

Für eine weit verbreitete Infektion müssen Angreifer zuerst ein System im Netzwerk kompromittieren, indem sie den Benutzer dazu bringen, ihr Programm herunterzuladen. Wenn sich dann ein Systemadministrator an diesem Desktop-Computer anmeldet, um z. B. routinemäßige Wartungsarbeiten durchzuführen, versucht die Schadsoftware, PsExec auszuführen und Malware auf allen anderen Systemen im Netzwerk zu installieren.

Oft ist die Technik erfolgreich.

In den letzten 16 Monaten haben Corefloods Autoren mehr als 378.000 Computer infiziert. SecureWorks hat Tausende von Infektionen in Universitätsnetzwerken gezählt und hat Finanzunternehmen, Krankenhäuser, Anwaltskanzleien und sogar eine US-amerikanische Polizeibehörde gefunden, die Hunderte von Infektionen hatte. "Es ist irgendwie verrückt, wie oft sie auf Hunderte oder Tausende von Computern in einer einzigen Firma kommen", sagte Stewart. "Sie haben wahrscheinlich weit mehr Konten gestohlen, als sie nutzen können."

Das SANS Internet Storm Center meldete am 25. Juni eine der Infektionen, von denen 600 Maschinen in einem 3.000-PC-Netzwerk betroffen waren.

Bösartige Programme haben sie benutzt PsExec für mehr als fünf Jahren, sagte der Schöpfer der Software, Mark Russinovich, ein Microsoft-Techniker. Dies ist jedoch das erste Mal, dass er davon gehört hat. "PsExec enthüllt nichts, was ein Malware-Autor nicht selbst programmieren oder mit alternativen Mechanismen erreichen könnte", sagte er in einem E-Mail-Interview. "Sobald Sie über Zugangsdaten verfügen, die Ihnen lokale Administratorrechte über Fernzugriff gewähren, besitzen Sie dieses System."

Coreflood, der auch als AFcore-Trojaner bekannt ist, gibt es seit etwa sechs Jahren. Es wurde in der Vergangenheit für Dinge wie Denial-of-Service-Angriffe verwendet, aber nicht um Passwörter zu stehlen, sagte Stewart.