De rootkit-Trojan, die sinds 16 maart actief machines infecteert, zou over 'vrij onheilspellende' capaciteiten beschikken, aldus een onderzoeker van Sana Labs. Zo kan deze niet alleen wachtwoorden stelen zonder keystrokes te loggen, maar is deze ook onzichtbaar op de schijf en niet als afzonderlijk proces te detecteren. Het Trojaanse paard, 'rootkit.hearse', komt pas in actie wanneer gebruikers een site bezoeken waarvoor ze zich moeten aanmelden. Gebruikersnamen en wachtwoorden worden vervolgens verstuurd naar een webserver in Rusland. "Ironisch genoeg is deze server niet beveiligd, zodat iedereen de gestolen informatie op kan vragen", aldus de onderzoeker. De rootkit, die uit een driver (zopenssld.sys) en een dll (zopenssl.dll) bestaat, is zeer moeilijk te vinden. Hoewel deze bestanden niet op de schijf te zien zijn, registreert zopenssl.dll zich wel als een extensie van Winlogon.exe. De Russische server, waarop dinsdag ongeveer 35.000 unieke logins te vinden waren, zou volgens de laatste berichten nog steeds in de lucht zijn. De Russische isp is maandag al op de hoogte gesteld. Bron: Techworld