Les chevaux de Troie, attendant de dérober les mots de passe administrateur

Ils ont réussi à infecter des centaines de milliers d'ordinateurs - dont plus de 14 000 dans une chaîne hôtelière mondiale sans nom - en attendant Les administrateurs du système se connectent aux ordinateurs infectés, puis utilisent un outil d'administration Microsoft pour répandre leurs logiciels malveillants sur le réseau.

Les criminels à l'origine du cheval de Troie Coreflood utilisent le logiciel pour dérober les noms d'utilisateur et les mots de passe bancaires. Selon Joe Stewart, directeur de la recherche sur les logiciels malveillants chez le fournisseur de sécurité SecureWorks, ils ont amassé une base de données de 50 Go de ces informations provenant des ordinateurs infectés.

[Plus d'informations: Comment supprimer les logiciels malveillants sur votre PC Windows]

"Ils ont réussi à se propager dans des entreprises entières", a-t-il déclaré.

Depuis que Microsoft a livré son logiciel Windows XP Service Pack 2 avec ses fonctions de sécurité verrouillées, les pirates ont eu du mal à trouver des moyens de diffuser des logiciels malveillants dans les réseaux d'entreprise. Les infestations de virus ou de virus généralisés ont rapidement chuté après la sortie du logiciel en août 2004.

Mais les pirates Coreflood ont réussi, en partie grâce à un programme Microsoft appelé PsExec, conçu pour aider les administrateurs système à exécuter des logiciels légitimes sur leurs ordinateurs. réseaux.

Pour une infection généralisée, les pirates doivent d'abord compromettre un système sur le réseau en incitant l'utilisateur à télécharger son programme. Ensuite, lorsqu'un administrateur système se connecte à cette machine de bureau - pour effectuer une maintenance de routine, par exemple - le logiciel malveillant tente d'exécuter PsExec et d'installer des logiciels malveillants sur tous les autres systèmes du réseau.

Souvent, la technique réussit. > Au cours des 16 derniers mois, les auteurs de Coreflood ont infecté plus de 378 000 ordinateurs. SecureWorks a recensé des milliers d'infections dans les réseaux universitaires et a trouvé des sociétés financières, des hôpitaux, des cabinets d'avocats et même un service de police de l'État américain qui ont eu des centaines d'infections. "Il est un peu fou de voir à quelle fréquence ils utilisent des centaines ou des milliers d'ordinateurs dans une seule entreprise", a déclaré M. Stewart. "Ils ont probablement volé beaucoup plus de comptes qu'ils ne peuvent en utiliser."

Le SANS Internet Storm Center a rapporté l'une des infections, affectant 600 machines sur un réseau de 3000 PC, le 25 juin.

Des programmes malveillants ont utilisé PsExec depuis plus de cinq ans, a déclaré le créateur du logiciel, Mark Russinovich, un collègue technique de Microsoft. Cependant, c'est la première fois qu'il en entend parler. "PsExec n'expose pas tout ce qu'un auteur de malware ne peut pas coder lui-même ou même accomplir avec des mécanismes alternatifs", at-il déclaré dans une interview par e-mail. «Une fois que vous avez des informations d'identification qui vous confèrent des droits d'administration locaux via l'accès à distance, vous possédez ce système.»

Coreflood, également connu sous le nom de cheval de Troie AFcore, existe depuis environ six ans. Il a été utilisé dans le passé pour lancer des attaques par déni de service, mais pas pour voler des mots de passe, a dit Stewart.