MonitoringTool:Win32/Mipko

CH azonosító

CH-11716

Angol cím

MonitoringTool:Win32/Mipko

Felfedezés dátuma

2014.09.29.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Ez a program megfigyeli a felhasználó tevékenységét a számítógépen. Képes információt szerezni anélkül, hogy a felhasználó tudomást szerezne róla. Az összegyűjtött adatokat továbbítja a támadó részére.

Leírás

Ez a program megfigyeli a felhasználó tevékenységét a számítógépen. Képes információt szerezni anélkül, hogy a felhasználó tudomást szerezne róla. Az összegyűjtött adatokat továbbítja a támadó részére.

1. A program létrehoz egy bejegyzést (registry) a “HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon ” címen, ami minden egyes számítógép inditásnál lefut.

A következő fájlokat másolja a “%SystemRoot%system32mpk” mappába:

cinfo.bin
icon_1.ico
libeay32.dll
lnkmst.exe
lsynchost.exe
MPK.dll
MPK.exe
MPK64.dll
MpkHCA.dll
MpkHCQ12.dll
MPKInst.exe
MpkL64.exe
MPKView.exe
ogg.dll
sqlite3.dll
ssleay32.dll
unins000.dat
unins000.exe
unins000.msg
Vorbis.dll
vorbisenc.dll
vorbisfile.dll
zlib1.dll

Működés közben:

  • Elküld egy figyelmesztetést e-mail-en, amikor különleges jelszavakat vagy mondatokat lát.
  • Automatikusan képeket készít a monitoron lévő képről.
  • Megfigyeli és megőrzi a futó alkalmazások listáját.
  • Megfigyeli és megőrzi a chat szobákban és az instant üzeneteken folyó beszélgetéseket.
  • Menti, hogy a felhasználó milyen felhasználóneveket és jelszavakat gépel be a billentyűzeten.
  • Megfigyeli a vágólap tartalmát.
  • Időközönként képet lop a felhasználó webkameráján látható éppen aktuális képről.

Ha a következő fájl megtalálható felhasználó rendszerében, akkor valószínűleg veszélynek van kitéve: “%SystemRoot%system32mpk”

Megoldás

Cserélje le a jelszavakat.

 


Legfrissebb sérülékenységek
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
CVE-2024-42327 – Zabbix SQLi sérülékenysége
Tovább a sérülékenységekhez »