Maandag hebben security onderzoekers een rootkit en Trojaans paard duo ontdekt dat al meer dan 40.000 gebruikersnamen en wachtwoorden van geinfecteerde PCs heeft gestolen. Het malware duo zou al sinds 16 maart actief zijn en machines besmetten. De kernel level rootkit verbergt het Trojaanse paard, dat over een aantal nare eigenschappen beschikt.

Zo overleeft de Trojan een herstart van de computer en draait die als een apart proces. Verder kan het wachtwoorden ontdekken die eerder op de machine gebruikt zijn, en hoeft het niet de toetsaanslagen op te slaan. Doordat de rootkit de Trojan verbergt, kunnen gebruikers die niet detecteren.

Het Trojaanse paard en rootkit werden tijdens onderzoek naar de Alcra worm gevonden. Heeft de worm een systeem geinfecteerd, dan downloadt die de rootkit en Trojan. Is de malware geinstalleerd, dan wordt er contact opgenomen met een server in Rusland, die als opslag dient voor alle gestolen wachtwoorden en gebruikersnamen. Het Trojaanse paard is niet continu actief. Alleen als de gebruiker websites bezoekt die authenticatie vereist, wordt de malware actief.

De worm, die zich voornamelijk via websites verspreid waar cracks, warez en illegale software te vinden is, zou pas door een beperkt aantal anti-virusaanbieders gedetecteerd worden. De werking van de rootkit en Trojan wordt op deze pagina beschreven.