Трояны оседлали средства администрирования // 10 Ноября 2012

Как сообщили эксперты по безопасности из компании SecureWorks, авторам нового вируса-троянца, получившего название Coreflood Trojan, удалось заразить сотни тысяч компьютеров, в том числе более 14’000 компьютеров одной неназванной международной сети отелей.

Для распространения новый троянец использует встроенную в Windows утилиту, изначально предназначенную для администрирования в корпоративных сетях.

С момента выпуска обновления Service Pack 2 для Windows XP число вирусных эпидемий пошло на спад. Система XP SP2 с момента своего появления в 2004 казалась вполне защищенной платформой, но создатели Coreflood перевернули представления экспертов по безопасности. Чтобы заразить всю корпоративную сеть, злоумышленники сначала заставляют хотя бы одного пользователя обманом или другими способами загрузить и запустить зараженный файл. После этого дальнейшее заражение становится делом техники.

Троянец на зараженном компьютере дожидается момента, пока на этом компьютере не зарегистрируется администратор – во время обслуживания или по какому-нибудь иному поводу. При наличии в локальной системе пользователя с правами администратора вирус пытается запустить встроенную утилиту PsExec. Эта утилита была создана компанией Microsoft для того, чтобы администраторы могли распространять и запускать проверенное программное обеспечение на удаленных компьютерах своей сети. Троянец Coreflood использует утилиту PsExec для распространения собственных копий на всех доступных компьютерах сети.

За последние 16 месяцев по разным оценкам Coreflood заразил более 378 тысяч компьютеров в коммерческих, медицинских, государственных, образовательных и других учреждениях – например, 25 июня этого года центр SANS Internet Storm Center зафиксировал единовременное заражение 600 машин в сети из 3000 ПК.

Как рассказал автор программы PsExec Марк Руссинович (Mark Russinovich) из компании Microsoft, вредоносные программы пытаются использовать технологию PsExec на протяжении уже более 5 лет. Тем не менее, по его словам, это первый случай, когда PsExec используется именно таким образом. «PsExec не открывает злоумышленникам никаких дополнительных возможностей, которые бы они не могли реализовать сами или добиться другими средствами», - заявил Руссинович в своем интервью.

Эксперты предупреждают – сам троянец Coreflood, также известный под названием AFcore Trojan, существует в разных вариантах уже почти 6 лет, но до последнего времени он целенаправленно использовался только для проведения распределенных атак на отказ в обслуживании. По мнению многих специалистов, для кражи паролей Coreflood не используется, сообщает pcworld.com.