Liberpy trójai


2015. július 28. 06:38

CH azonosító

CH-12476

Angol cím

Liberpy

Felfedezés dátuma

2015.07.27.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

A Liberpy két tevékenységre koncentrál. Egyrészt megpróbál minél több számítógépre felkerülni, másrészt a fertőzött PC-kről minél több adatot igyekszik kiszivárogtatni.

Leírás

A károkozó elsősorban cserélhető meghajtókon ütheti fel a fejét. egy .exe és egy .bat kiterjesztésű állomány formájában. Amikor e két állomány valamelyikét elindítja a felhasználó, akkor megfelelő védelem hiányában a számítógépe azonnal megfertőződhet egy olyan szoftveres összetevővel, amely kifejezetten adatlopásra specializálódott.

A Liberpy többnyire a billentyűleütéseket naplózza, de emellett az egérrel végzett felhasználói műveleteket is monitorozza. Rendszeres időközönként képernyőképeket is lement egy rejtett mappába. Az összegyűjtött adatokat, illetve a lementett képállományokat egy percenként tölti fel a vezérlőszerverére, vagyis nagy gyakorisággal szivárogtatja az adatokat.

Technikai részletek:

1. Létrehozza az alábbi könyvtárakat, amelyekbe egyebek mellett dll és pyd kiterjesztésű állományokat másol be:
%Temp%_MEI[véletlenszerű karakterek]Crypto.Cipher._AES.pyd
%Temp%tmp[véletlenszerű karakterek]gen_pydicts.dat

2. Létrehozza az alábbi fájlt:
%SystemDrive%MSDcacheLiberty[verziószám].exe

3. Csatlakozik a vezérlőszervereihez, és nyit egy hátsó kaput.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értéket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”Liberty[verziószám].exe” = “%SystemDrive%MSDcacheLiberty[verziószám].exe”

5. Folyamatosan naplózza a billentyűzettel és az egérrel elvégzett műveleteket.

6. Képernyőképeket készít.

7. Az összegyűjtött adatokat lementi a következő mappába:
%SystemDrive%MSDcachesystemsystem

8. Percenként feltölti egy szerverre a lopott adatokat.

9. A cserélhető meghajtókra felmásolja a következő állományokat:
%meghajtó betűjele%­MSDcache­Liberty[verziószám].exe
%meghajtó betűjele%­MSDcache­Liberty[verziószám].bat

10. Egyes esetekben parancsikonokat hoz létre.

Megoldás

  • Frissítse az antivírus-szoftver adatbázisát a kártevő felismeréséhez és eltávolításához
  • A fertőzés detektálásához, illetve a kártékony kód eltávolításához Vista és Windows 7 esetén használja a  Microsoft Security Essentials -t, Windows 8 esetében pedig a Windows Defender -t vagy a Run Norton Power Eraser (NPE) -t.

Támadás típusa

Information disclosure (Információ/adat szivárgás)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu

Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »