Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 7/8/2008
Et botnetprogram udnytter et legitimt administratorværktøj til at installere sig på alle pc'er i et domæne, når først en enkelt pc er inficeret. Programmet stjæler brugeroplysninger om netbanker.Sikkerhedsforsker Joe Stewart fra firmaet SecureWorks har analyseret botnetprogrammet Coreflood, der har eksisteret siden 2003. Når programmet kører på en pc, indrullerer det den i et netværk af computere, som bagmændene kan styre via en server. Joe Stewart har fået adgang til sådan en server, der er blevet lukket ned.
På serveren fandt han 50 GB komprimerede data opsamlet over et halvt år fra de pc'er, der indgår i botnettet. Der var blandt andet en MySQL-database, som indeholdt data om pc'erne og deres brugere.
I alt fandt han 463.582 sæt brugernavne og passwords. Heraf var 8.485 til banker og andre finansinstitutter.
Foruden at opsnuse brugernavn og password gemmer Coreflood-programmet også andre data fra skærmbilledet. På den måde kan bagmændene i deres database ikke kun se brugernavn og password til en bestemt netbank, de kan også se saldoen og dermed afgøre, om den er værd at bryde ind i.
Coreflood benytter en usædvanlig metode til at inficere mange computere på en gang. Første infektion sker typisk via en anden trojansk hest, som installeres via en sårbarhed i fx Internet Explorer. Den henter og installerer Coreflood-programmet. Det tjekker, om brugeren er logget ind med privilegier som domæneadministrator. Når en administrator logger ind, kører den et legitimt administrationsprogram, der kan installere et program på alle pc'er i domænet.
På den måde kan alle pc'er i en organisation hurtigt blive ramt af Coreflood. Blandt ofrene fandt Joe Stewart hoteller, hospitaler, universiteter og sågar en delstats politienhed.
Et andet offer, hvis data lå i databasen, var en udvikler hos et antivirusfirma. Joe Stewart bemærker, at pågældende firmas produkt stadig ikke er i stand til at genkende de nyeste varianter af Coreflood. Der kommer nemlig hele tiden nye varianter, typisk en om ugen.
Coreflood-botnettet er usædvanligt derved, at bagmændene øjensynlig bruger data fra det selv i stedet for at sælge adgangen til nettet og data.
Efter at den centrale server blev sat ud af spillet, gik der få dage, før en ny server var i drift. Så Coreflood er fortsat aktiv. Joe Stewart oplyser, at banden bag botnettet er fra Rusland.
Det kan være vanskeligt at fjerne Coreflood fra en inficeret pc: Hvis man logger ind som administrator, risikerer man at inficere alle andre pc'er i domænet. Joe Stewart har offentliggjort et forslag til, hvordan man kan gribe opgaven an. Hans metode anvender botnettets egen funktion til afinstallation.