Трояны оседлали средства администрирования
2 Июля 2008
Как сообщили эксперты по безопасности из компании SecureWorks, авторам нового вируса-троянца, получившего название Coreflood Trojan, удалось заразить сотни тысяч компьютеров, в том числе более 14’000 компьютеров одной неназванной международной сети отелей.
Для распространения новый троянец использует встроенную в Windowsутилиту, изначально предназначенную для администрирования в корпоративныхсетях.
С момента выпуска обновления Service Pack 2 для Windows XP числовирусных эпидемий пошло на спад. Система XP SP2 с момента своего появления в2004 казалась вполне защищенной платформой, но создатели Coreflood перевернулипредставления экспертов по безопасности. Чтобы заразить всю корпоративную сеть,злоумышленники сначала заставляют хотя бы одного пользователя обманом илидругими способами загрузить и запустить зараженный файл. После этого дальнейшеезаражение становится делом техники.
Троянец на зараженном компьютере дожидается момента, пока наэтом компьютере не зарегистрируется администратор – во время обслуживания илипо какому-нибудь иному поводу. При наличии в локальной системе пользователя справами администратора вирус пытается запустить встроенную утилиту PsExec. Этаутилита была создана компанией Microsoft для того, чтобы администраторы моглираспространять и запускать проверенное программное обеспечение на удаленныхкомпьютерах своей сети. Троянец Coreflood использует утилиту PsExec дляраспространения собственных копий на всех доступных компьютерах сети.
За последние 16 месяцев по разным оценкам Coreflood заразилболее 378 тысяч компьютеров в коммерческих, медицинских, государственных,образовательных и других учреждениях – например, 25 июня этого года центр SANS InternetStorm Center зафиксировал единовременное заражение 600 машин в сети из 3000 ПК.
Как рассказал автор программы PsExec Марк Руссинович (Mark Russinovich)из компании Microsoft, вредоносные программы пытаются использовать технологию PsExecна протяжении уже более 5 лет. Тем не менее, по его словам, это первый случай,когда PsExec используется именно таким образом. «PsExec не открываетзлоумышленникам никаких дополнительных возможностей, которые бы они не моглиреализовать сами или добиться другими средствами», - заявил Руссинович в своеминтервью.
Эксперты предупреждают – сам троянец Coreflood, такжеизвестный под названием AFcore Trojan, существует в разных вариантах уже почти6 лет, но до последнего времени он целенаправленно использовался только дляпроведения распределенных атак на отказ в обслуживании. По мнению многихспециалистов, для кражи паролей Coreflood не используется, сообщает pcworld.com.
Источник: soft.mail.ru | Добавить комментарий | Версия для печати
