Nuqel.ZZ


2014. szeptember 27. 07:10

CH azonosító

CH-11656

Angol cím

Worm:Win32/Nuqel.ZZ

Felfedezés dátuma

2014.09.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Nuqel.ZZ féreg meglehetősen gyorsan képes terjedni a számítógépek között. Ennek egyebek mellett az az oka, hogy a kártékony program több terjedési csatornát is felhasznál a céljai elérése érdekében. Így például – megfelelő védelem hiányában – minden gond nélkül képes cserélhető meghajtókon, valamint hálózati megosztásokon keresztül terjedni. Emellett a féreg az elektronikus levelek adta lehetőségekkel is megpróbál élni, és e-mailek mellékleteként minél több postafiókba bekerülni. 

A féreg ütemezett feladatok révén biztosítja azt, hogy naponta legalább egyszer biztosan lefusson, és elvégezze a terjedéséhez szükséges teendőket. A jelenlegi variánsa úgy állítja be az ütemezést, hogy a hét minden napján, pontban 9 órakor elinduljon.

A Nuqel.ZZ leginkább a terjedésére koncentrál, és nem végez egyéb kártékony műveleteket. Természetesen ez a jövőben esetlegesen megjelenő variánsainak esetében megváltozhat.

Leírás

1. Létrehozza a következő állományokat:
%windir%regsvr.exe
%System%regsvr.exe
%System%svchost .exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell=”explorer.exe regsvr.exe”

3. Felmásolja a rendszerre a következő fájlokat:
%System%setup.ini
c:documents and settingsadministratorlocal settingstempaute.tmp

4. Ütemezett feladatokat hoz létre az alábbiak szerint:
cmd.exe /C AT /delete /yes
cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %System%svchost .exe

5. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKLMSYSTEMCurrentControlSetServicesScheduleAtTaskMaxHours=”0″

6. Megpróbál cserélhető és hálózati meghajtókon keresztül további számítógépekre felkerülni.

7. Megpróbál elektronikus levelezés útján tovább terjedni.

Megoldás

Frissítse a víruskereső adatbázisát.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »