Een van de oudste botnets op het internet is nog altijd springlevend en blijkt over gigantische hoeveelheden vertrouwelijke informatie te beschikken. Coreflood werd voor het eerst in 2002 ontdekt en heeft zich sindsdien ontwikkeld van IRC-bot voor het aanvallen van IRC-gebruikers naar een TCP proxy en uiteindelijk een volledige infostealer Trojan. De malware blijkt keihard toe te slaan bij ziekenhuizen, universiteiten en bedrijven.

Een Trojan downloader verspreidt zich via de NCT Audiofile2 ActiveX control exploit voor Internet Explorer. De downloader downloadt dan de Coreflood installer en een Windows programma genaamd psexec.exe. PsExec is a legitieme Windows beheertool. Als de geïnfecteerde gebruiker administratorrechten heeft, wordt de Coreflood installer op elke computer in het domein uitgevoerd.

De Trojan downloader installeert zichzelf in de windowssystem32 en maakt een registersleutel aan om ervoor te zorgen dat die altijd tijdens het inloggen door de gebruiker actief is. Een zeer slimme optie, want het betekent dat de Trojan niet perse de computer van de systeembeheerder moet infecteren. Een werkstation is voldoende, omdat als de administrator inlogt om bijvoorbeeld een probleem te verhelpen, zijn logingegevens worden gekaapt. Met de gekaapte gegevens infecteert de malware daarna alle andere computers.

50GB aan gestolen data

Tijdens onderzoek bij een geinfecteerd bedrijf werd de back-end broncode van de malware ontdekt. Zodoende wisten de onderzoekers te achterhalen dat Coreflood de afgelopen twee jaar meer dan 50 gigabyte aan gecomprimeerde data van honderdduizenden computers had gestolen. De geïnfecteerde computers worden via een MySQL database gemonitord. In de database troffen de onderzoekers 378.758 unieke bots aan, die over een periode van zestien maanden waren "gerekruteerd". Gemiddeld blijkt een Coreflood bot 66 dagen te leven, waarna de eigenaar de infectie ongedaan maakt. SecureWorks maakt deze analyse van dit fossiele botnet.