Liberpy trójai


2015. július 28. 06:38

CH azonosító

CH-12476

Angol cím

Liberpy

Felfedezés dátuma

2015.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Liberpy két tevékenységre koncentrál. Egyrészt megpróbál minél több számítógépre felkerülni, másrészt a fertőzött PC-kről minél több adatot igyekszik kiszivárogtatni.

Leírás

A károkozó elsősorban cserélhető meghajtókon ütheti fel a fejét. egy .exe és egy .bat kiterjesztésű állomány formájában. Amikor e két állomány valamelyikét elindítja a felhasználó, akkor megfelelő védelem hiányában a számítógépe azonnal megfertőződhet egy olyan szoftveres összetevővel, amely kifejezetten adatlopásra specializálódott.

A Liberpy többnyire a billentyűleütéseket naplózza, de emellett az egérrel végzett felhasználói műveleteket is monitorozza. Rendszeres időközönként képernyőképeket is lement egy rejtett mappába. Az összegyűjtött adatokat, illetve a lementett képállományokat egy percenként tölti fel a vezérlőszerverére, vagyis nagy gyakorisággal szivárogtatja az adatokat.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat, amelyekbe egyebek mellett dll és pyd kiterjesztésű állományokat másol be:
%Temp%_MEI[véletlenszerű karakterek]Crypto.Cipher._AES.pyd
%Temp%tmp[véletlenszerű karakterek]gen_pydicts.dat

2. Létrehozza az alábbi fájlt:
%SystemDrive%MSDcacheLiberty[verziószám].exe

3. Csatlakozik a vezérlőszervereihez, és nyit egy hátsó kaput.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Liberty[verziószám].exe” = “%SystemDrive%MSDcacheLiberty[verziószám].exe”

5. Folyamatosan naplózza a billentyűzettel és az egérrel elvégzett műveleteket.

6. Képernyőképeket készít.

7. Az összegyűjtött adatokat lementi a következő mappába:
%SystemDrive%MSDcachesystemsystem

8. Percenként feltölti egy szerverre a lopott adatokat.

9. A cserélhető meghajtókra felmásolja a következő állományokat:
%meghajtó betűjele%­MSDcache­Liberty[verziószám].exe
%meghajtó betűjele%­MSDcache­Liberty[verziószám].bat

10. Egyes esetekben parancsikonokat hoz létre.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához
  • A fertőzés detektálásához, illetve a kártékony kód eltávolításához Vista és Windows 7 esetén használja a  Microsoft Security Essentials -t, Windows 8 esetében pedig a Windows Defender -t vagy a Run Norton Power Eraser (NPE) -t.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2025-21308 – Windows Themes Spoofing sebezhetősége
CVE-2025-21275 – Windows App Package Installer Elevation of Privilege sebezhetősége
CVE-2025-21335 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21334 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21333 – Microsoft Windows Hyper-V NT Kernel Integration VSP Heap-based Buffer Overflow sebezhetősége
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
Tovább a sérülékenységekhez »