Liberpy trójai


2015. július 28. 06:38

CH azonosító

CH-12476

Angol cím

Liberpy

Felfedezés dátuma

2015.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Liberpy két tevékenységre koncentrál. Egyrészt megpróbál minél több számítógépre felkerülni, másrészt a fertőzött PC-kről minél több adatot igyekszik kiszivárogtatni.

Leírás

A károkozó elsősorban cserélhető meghajtókon ütheti fel a fejét. egy .exe és egy .bat kiterjesztésű állomány formájában. Amikor e két állomány valamelyikét elindítja a felhasználó, akkor megfelelő védelem hiányában a számítógépe azonnal megfertőződhet egy olyan szoftveres összetevővel, amely kifejezetten adatlopásra specializálódott.

A Liberpy többnyire a billentyűleütéseket naplózza, de emellett az egérrel végzett felhasználói műveleteket is monitorozza. Rendszeres időközönként képernyőképeket is lement egy rejtett mappába. Az összegyűjtött adatokat, illetve a lementett képállományokat egy percenként tölti fel a vezérlőszerverére, vagyis nagy gyakorisággal szivárogtatja az adatokat.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat, amelyekbe egyebek mellett dll és pyd kiterjesztésű állományokat másol be:
%Temp%_MEI[véletlenszerű karakterek]Crypto.Cipher._AES.pyd
%Temp%tmp[véletlenszerű karakterek]gen_pydicts.dat

2. Létrehozza az alábbi fájlt:
%SystemDrive%MSDcacheLiberty[verziószám].exe

3. Csatlakozik a vezérlőszervereihez, és nyit egy hátsó kaput.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Liberty[verziószám].exe” = “%SystemDrive%MSDcacheLiberty[verziószám].exe”

5. Folyamatosan naplózza a billentyűzettel és az egérrel elvégzett műveleteket.

6. Képernyőképeket készít.

7. Az összegyűjtött adatokat lementi a következő mappába:
%SystemDrive%MSDcachesystemsystem

8. Percenként feltölti egy szerverre a lopott adatokat.

9. A cserélhető meghajtókra felmásolja a következő állományokat:
%meghajtó betűjele%­MSDcache­Liberty[verziószám].exe
%meghajtó betűjele%­MSDcache­Liberty[verziószám].bat

10. Egyes esetekben parancsikonokat hoz létre.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához
  • A fertőzés detektálásához, illetve a kártékony kód eltávolításához Vista és Windows 7 esetén használja a  Microsoft Security Essentials -t, Windows 8 esetében pedig a Windows Defender -t vagy a Run Norton Power Eraser (NPE) -t.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »