Luminrat trójai

CH azonosító

CH-12756

Angol cím

Luminrat trojan

Felfedezés dátuma

2015.11.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Luminrat kettős céllal fertőz. Egyrészt egy hátsó ajtót nyit a számítógépeken, másrészt pedig adatszivárogtatásból veszi ki a részét.

Leírás

Az egyetlen feltűnőbb ismertetőjele, hogy a rendszermeghajtó gyökérkönyvtárába létrehozott, véletlenszerű névvel ellátott mappába másolja be az állományait.

A Luminrat a következő feladatok elvégzésére alkalmas:

  • fájlok letöltése és futtatása
  • hang- és videófelvételek készítése
  • távoli asztali kapcsolat létesítése
  • parancssorhoz való hozzáférés biztosítása
  • a hosts fájl manipulálása
  • proxy létesítése
  • a Feladatkezelő letiltása
  • DDoS támadásokba való bekapcsolódás
  • a saját fájljainak frissítése.

Technikai részletek

1. Létrehozza a következő mappát:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek]1

2. A fenti könyvtárba bemásol egy helper.exe nevű állományt.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftware”Xmy8Wrx1nWVOj522YFIamQ==” = „[…]”
HKEY_CURRENT_USERSoftware”UeE/t8o052EAyeZxeEkWIg==” = „[…]”

4. Nyit egy hátsó kaput a 7189-es TCP porton keresztül.

5. Végrehajtja a támadók parancsait.

6. Megpróbál postafiókokhoz, illetve FTP-szerverekhez tartozó hitelesítő adatokat kiszivárogtatni.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
CVE-2023-20118 – Cisco Small Business RV Series Routers Command Injection sebezhetősége
Tovább a sérülékenységekhez »