Összefoglaló
A Luminrat kettős céllal fertőz. Egyrészt egy hátsó ajtót nyit a számítógépeken, másrészt pedig adatszivárogtatásból veszi ki a részét.
Leírás
Az egyetlen feltűnőbb ismertetőjele, hogy a rendszermeghajtó gyökérkönyvtárába létrehozott, véletlenszerű névvel ellátott mappába másolja be az állományait.
A Luminrat a következő feladatok elvégzésére alkalmas:
- fájlok letöltése és futtatása
- hang- és videófelvételek készítése
- távoli asztali kapcsolat létesítése
- parancssorhoz való hozzáférés biztosítása
- a hosts fájl manipulálása
- proxy létesítése
- a Feladatkezelő letiltása
- DDoS támadásokba való bekapcsolódás
- a saját fájljainak frissítése.
Technikai részletek
1. Létrehozza a következő mappát:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek]1
2. A fenti könyvtárba bemásol egy helper.exe nevű állományt.
3. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftware”Xmy8Wrx1nWVOj522YFIamQ==” = “[…]”
HKEY_CURRENT_USERSoftware”UeE/t8o052EAyeZxeEkWIg==” = “[…]”
4. Nyit egy hátsó kaput a 7189-es TCP porton keresztül.
5. Végrehajtja a támadók parancsait.
6. Megpróbál postafiókokhoz, illetve FTP-szerverekhez tartozó hitelesítő adatokat kiszivárogtatni.
Hivatkozások
Egyéb referencia: www.symantec.com
Egyéb referencia: isbk.hu