computerwoche.de

Security

Coreflood alias AFcore

Trojaner lauert auf Admin-Passwörter

04.07.2008
Sicherheitsexperten sind auf eine Datenbank mit 50 Gigabyte gestohlenen Hackerdaten gestoßen. Die Informationen stammen von hunderttausenden Firmenrechnern, die sich den auf Zugangsdaten für Bankkonten erpichten Trojaner "Coreflood" eingefangen haben.

Wie Joe Stewart, Director Malware Research bei SecureWorks, berichtet, ist der Schädling "Coreflood" bereits seit dem Jahr 2002 bekannt. Versuchte die Malware (auch "AFcore" genannt) damals noch als IRC-Bot (Internet Relay Chat) in erster Linie DoS-Attacken (Denial of Service) zu lancieren, soll sie sich in den vergangenen sechs Jahren allerdings still und heimlich zu einem ausgewachsenen Trojaner gemausert haben, der es besonders auf Zugangsinformationen für Bankkonten abgesehen hat. "Coreflood wird von seinem Autor offenbar mehr als Softwareprojekt und weniger als simpler Backdoor-Trojaner betrachtet", schreibt Stewart.

Laut Bericht haben die hinter Coreflood stehenden Kriminellen in den vergangenen 16 Monaten weltweit mehr als 378.000 Computersystemen in Universitätsnetzen, Krankenhäusern, bei Finanzdienstleistern und in Rechtsanwaltskanzleien ihren Schadcode untergeschoben - und zwar über Administratorenrechte. Dazu wird zunächst eine einzelne Workstation im Firmennetz (etwa via Drive-by-Browser-Exploit) infiziert. Dort wartet der Coreflood-Trojaner geduldig, bis sich der Systemadministrator - etwa zu Wartungszwecken - mit seinen Login-Daten auf dem befallenen Rechner anmeldet, um damit dann das Administrations-Tool "PsExec" von Microsoft zu starten und sich so auf alle anderen Systeme in dieser Windows-Domäne zu verbreiten.

Erst am 25. Juni meldete das Internet Storm Center (ISC) des SANS Institute eine Coreflood-Infektion, bei der sich der Trojaner auf 600 Systemen in einem Netz von 3000 PCs eingenistet hatte.

Laut Stewart ist Secureworks mit Hilfe der Antispam-Organisation Spamhaus auf eine Datenbank mit 50 Gigabyte an Informationen gestoßen, die Coreflood auf seinen Beutezügen ergattert hatte. "Es ist ihnen gelungen, sich über ganze Unternehmen hinweg zu verbreiten", berichtet der Malware-Experte. Allein in einer globalen Hotelkette waren rund 14.000 PCs betroffen. Dies sei heutzutage sehr selten. Das seit August 2004 erhältliche Windows XP Service Pack 2 habe es Hackern deutlich erschwert, ihren Schadcode in Firmennetzen zu verbreiten.

Dennoch ist Coreflood aktuell nicht zuletzt durch Microsofts "PsExec" erfolgreich. Das Tool, dessen Sinn und Zweck es ist, Administratoren die Softwareverteilung im Netz zu erleichtern, werde zwar bereits seit gut fünf Jahren von Schadprogrammen genutzt, noch nie jedoch auf diese Art und Weise, wundert sich PsExec-Enttwickler Mark Russinovich. "PsExec gibt nichts preis, was Malware-Autoren nicht mit eigenem Code oder mit anderen Mechanismen erreichen könnten." (kf)