Luminrat trójai

CH azonosító

CH-12756

Angol cím

Luminrat trojan

Felfedezés dátuma

2015.11.08.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP

Összefoglaló

A Luminrat kettős céllal fertőz. Egyrészt egy hátsó ajtót nyit a számítógépeken, másrészt pedig adatszivárogtatásból veszi ki a részét.

Leírás

Az egyetlen feltűnőbb ismertetőjele, hogy a rendszermeghajtó gyökérkönyvtárába létrehozott, véletlenszerű névvel ellátott mappába másolja be az állományait.

A Luminrat a következő feladatok elvégzésére alkalmas:

  • fájlok letöltése és futtatása
  • hang- és videófelvételek készítése
  • távoli asztali kapcsolat létesítése
  • parancssorhoz való hozzáférés biztosítása
  • a hosts fájl manipulálása
  • proxy létesítése
  • a Feladatkezelő letiltása
  • DDoS támadásokba való bekapcsolódás
  • a saját fájljainak frissítése.

Technikai részletek

1. Létrehozza a következő mappát:
%SystemDrive%[véletlenszerű karakterek][véletlenszerű karakterek]1

2. A fenti könyvtárba bemásol egy helper.exe nevű állományt.

3. A regisztrációs adatbázishoz hozzáfűzi az alábbi értékeket:
HKEY_CURRENT_USERSoftware”Xmy8Wrx1nWVOj522YFIamQ==” = “[…]”
HKEY_CURRENT_USERSoftware”UeE/t8o052EAyeZxeEkWIg==” = “[…]”

4. Nyit egy hátsó kaput a 7189-es TCP porton keresztül.

5. Végrehajtja a támadók parancsait.

6. Megpróbál postafiókokhoz, illetve FTP-szerverekhez tartozó hitelesítő adatokat kiszivárogtatni.


Legfrissebb sérülékenységek
CVE-2022-44580 – RichPlugins Plugin For Google Reviews for WordPress sérülékenysége
CVE-2023-23421 – Microsoft Windows sérülékenysége
CVE-2023-23422 – Microsoft Windows sérülékenysége
CVE-2023-23420 – Microsoft Windows sérülékenysége
CVE-2023-23423 – Microsoft Windows sérülékenysége
CVE-2022-39214 – Combodo iTop (aka IT Operations Portal) sérülékenysége
CVE-2022-39216 – Combodo iTop (aka IT Operations Portal), Combodo iTop (aka IT Operations Portal) Community Edition sérülékenysége
CVE-2023-27501 – sap / netweaver application server abap, SAP NetWeaver Application Server ABAP sérülékenysége
CVE-2023-26360 – Adobe ColdFusion Improper Access Control sérülékenysége
CVE-2023-23397 – Microsoft Office Outlook sérülékenysége
Tovább a sérülékenységekhez »