Luminrat trójai

CH azonosító

CH-12756

Angol cím

Luminrat trojan

Felfedezés dátuma

2015.11.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Luminrat kettős céllal fertőz. Egyrészt egy hátsó ajtót nyit a számítógépeken, másrészt pedig adatszivárogtatásból veszi ki a részét.

Leírás

Az egyetlen feltűnőbb ismertetőjele, hogy a rendszermeghajtó gyökérkönyvtárába létrehozott, véletlenszerű névvel ellátott mappába másolja be az állományait.

A Luminrat a következő feladatok elvégzésére alkalmas:

  • fájlok letöltése és futtatása
  • hang- és videófelvételek készítése
  • távoli asztali kapcsolat létesítése
  • parancssorhoz való hozzáférés biztosítása
  • a hosts fájl manipulálása
  • proxy létesítése
  • a Feladatkezelő letiltása
  • DDoS támadásokba való bekapcsolódás
  • a saját fájljainak frissítése.

Technikai részletek

1. Létrehozza a következő mappát:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek]1

2. A fenti könyvtárba bemásol egy helper.exe nevű állományt.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftware”Xmy8Wrx1nWVOj522YFIamQ==” = “[…]”
HKEY_CURRENT_USERSoftware”UeE/t8o052EAyeZxeEkWIg==” = “[…]”

4. Nyit egy hátsó kaput a 7189-es TCP porton keresztül.

5. Végrehajtja a támadók parancsait.

6. Megpróbál postafiókokhoz, illetve FTP-szerverekhez tartozó hitelesítő adatokat kiszivárogtatni.