Liberpy trójai

CH azonosító

CH-12476

Angol cím

Liberpy

Felfedezés dátuma

2015.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Liberpy két tevékenységre koncentrál. Egyrészt megpróbál minél több számítógépre felkerülni, másrészt a fertőzött PC-kről minél több adatot igyekszik kiszivárogtatni.

Leírás

A károkozó elsősorban cserélhető meghajtókon ütheti fel a fejét. egy .exe és egy .bat kiterjesztésű állomány formájában. Amikor e két állomány valamelyikét elindítja a felhasználó, akkor megfelelő védelem hiányában a számítógépe azonnal megfertőződhet egy olyan szoftveres összetevővel, amely kifejezetten adatlopásra specializálódott.

A Liberpy többnyire a billentyűleütéseket naplózza, de emellett az egérrel végzett felhasználói műveleteket is monitorozza. Rendszeres időközönként képernyőképeket is lement egy rejtett mappába. Az összegyűjtött adatokat, illetve a lementett képállományokat egy percenként tölti fel a vezérlőszerverére, vagyis nagy gyakorisággal szivárogtatja az adatokat.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat, amelyekbe egyebek mellett dll és pyd kiterjesztésű állományokat másol be:
%Temp%_MEI[véletlenszerű karakterek]Crypto.Cipher._AES.pyd
%Temp%tmp[véletlenszerű karakterek]gen_pydicts.dat

2. Létrehozza az alábbi fájlt:
%SystemDrive%MSDcacheLiberty[verziószám].exe

3. Csatlakozik a vezérlőszervereihez, és nyit egy hátsó kaput.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Liberty[verziószám].exe” = “%SystemDrive%MSDcacheLiberty[verziószám].exe”

5. Folyamatosan naplózza a billentyűzettel és az egérrel elvégzett műveleteket.

6. Képernyőképeket készít.

7. Az összegyűjtött adatokat lementi a következő mappába:
%SystemDrive%MSDcachesystemsystem

8. Percenként feltölti egy szerverre a lopott adatokat.

9. A cserélhető meghajtókra felmásolja a következő állományokat:
%meghajtó betűjele%­MSDcache­Liberty[verziószám].exe
%meghajtó betűjele%­MSDcache­Liberty[verziószám].bat

10. Egyes esetekben parancsikonokat hoz létre.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához
  • A fertőzés detektálásához, illetve a kártékony kód eltávolításához Vista és Windows 7 esetén használja a  Microsoft Security Essentials -t, Windows 8 esetében pedig a Windows Defender -t vagy a Run Norton Power Eraser (NPE) -t.

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »