Liberpy trójai

CH azonosító

CH-12476

Angol cím

Liberpy

Felfedezés dátuma

2015.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Liberpy két tevékenységre koncentrál. Egyrészt megpróbál minél több számítógépre felkerülni, másrészt a fertőzött PC-kről minél több adatot igyekszik kiszivárogtatni.

Leírás

A károkozó elsősorban cserélhető meghajtókon ütheti fel a fejét. egy .exe és egy .bat kiterjesztésű állomány formájában. Amikor e két állomány valamelyikét elindítja a felhasználó, akkor megfelelő védelem hiányában a számítógépe azonnal megfertőződhet egy olyan szoftveres összetevővel, amely kifejezetten adatlopásra specializálódott.

A Liberpy többnyire a billentyűleütéseket naplózza, de emellett az egérrel végzett felhasználói műveleteket is monitorozza. Rendszeres időközönként képernyőképeket is lement egy rejtett mappába. Az összegyűjtött adatokat, illetve a lementett képállományokat egy percenként tölti fel a vezérlőszerverére, vagyis nagy gyakorisággal szivárogtatja az adatokat.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat, amelyekbe egyebek mellett dll és pyd kiterjesztésű állományokat másol be:
%Temp%_MEI[véletlenszerű karakterek]Crypto.Cipher._AES.pyd
%Temp%tmp[véletlenszerű karakterek]gen_pydicts.dat

2. Létrehozza az alábbi fájlt:
%SystemDrive%MSDcacheLiberty[verziószám].exe

3. Csatlakozik a vezérlőszervereihez, és nyit egy hátsó kaput.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Liberty[verziószám].exe” = “%SystemDrive%MSDcacheLiberty[verziószám].exe”

5. Folyamatosan naplózza a billentyűzettel és az egérrel elvégzett műveleteket.

6. Képernyőképeket készít.

7. Az összegyűjtött adatokat lementi a következő mappába:
%SystemDrive%MSDcachesystemsystem

8. Percenként feltölti egy szerverre a lopott adatokat.

9. A cserélhető meghajtókra felmásolja a következő állományokat:
%meghajtó betűjele%­MSDcache­Liberty[verziószám].exe
%meghajtó betűjele%­MSDcache­Liberty[verziószám].bat

10. Egyes esetekben parancsikonokat hoz létre.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához
  • A fertőzés detektálásához, illetve a kártékony kód eltávolításához Vista és Windows 7 esetén használja a  Microsoft Security Essentials -t, Windows 8 esetében pedig a Windows Defender -t vagy a Run Norton Power Eraser (NPE) -t.