Як паведамілі эксперты па бяспецы з кампаніі SecureWorks, аўтарам новага траяна, атрымалага назоў Coreflood Trojan, атрымалася заразіць сотні тысяч кампутараў, у тым ліку больш 14’000 кампутараў адной неназванай міжнароднай сеткі гатэляў.
Для распаўсюджвання новы траян выкарыстае ўбудаваную ў Windows утыліту, першапачаткова прызначаную для адміністравання ў карпаратыўных сетках.
З моманту выпуску абнаўлення Service Pack 2 для Windows XP лік вірусных эпідэмій пахабна на спад. Сістэма XP SP2 з моманту свайго з'яўлення ў 2004 здавалася суцэль абароненай платформай, але стваральнікі Coreflood перавярнулі паданні экспертаў па бяспецы. Каб заразіць усю карпаратыўную сетку, зламыснікі спачатку прымушаюць хоць бы аднаго карыстача зманам або іншымі спосабамі загрузіць і запусціць заражаны файл. Пасля гэтага наступнае заражэнне становіцца справай тэхнікі.
Траян на заражаным кампутары чакае моманту, пакуль на гэтым кампутары не зарэгіструецца адміністратар – падчас абслугоўвання або па якім-небудзь іншай падставе. Пры наяўнасці ў лакальнай сістэме карыстача з правамі адміністратара вірус спрабуе запусціць убудаваную ўтыліту PsExec. Гэтая ўтыліта была створаная кампаніяй Microsoft для таго, каб адміністратары маглі распаўсюджваць і запускаць праверанае праграмнае забеспячэнне на выдаленых кампутарах сваёй сеткі. Траян Coreflood выкарыстае ўтыліту PsExec для распаўсюджвання ўласных дзід на ўсіх даступных кампутарах сеткі.
За апошнія 16 месяцаў па розных адзнаках Coreflood заразіў больш 378 тысяч кампутараў у камерцыйных, медыцынскіх, дзяржаўных, адукацыйных і іншых установах – напрыклад, 25 чэрвеня гэтага года цэнтр SANS Internet Storm Center зафіксаваў адначасовае заражэнне 600 машын у сеткі з 3000 ПК. Як распавёў аўтар праграмы PsExec Марк Руссинович (Mark Russinovich) з кампаніі Microsoft, шкоднасныя праграмы спрабуюць выкарыстаць тэхналогію PsExec на працягу ўжо больш 5 гадоў. Тым не менш, па ім словам, гэта першы выпадак, калі PsExec выкарыстоўваецца менавіта такім чынам. «PsExec не адчыняе зламыснікам ніякіх дадатковых магчымасцяў, якія бы яны не маглі рэалізаваць самі або дамагчыся іншымі сродкамі», - заявіў Руссинович у сваім інтэрв'ю. Эксперты папярэджваюць – сам траян Coreflood, таксама вядомы пад назовам AFcore Trojan, існуе ў розных варыянтах ужо амаль 6 гадоў, але да апошняга часу ён мэтанакіравана выкарыстоўваўся толькі для правядзення размеркаваных нападаў на адмову ў абслугоўванні. Па меркаванні шматлікіх адмыслоўцаў, для крадзяжу пароляў Coreflood не выкарыстоўваецца