Nurjax

CH azonosító

CH-11873

Angol cím

Nurjax

Felfedezés dátuma

2014.12.15.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Nurjax trójai elsősorban a felhasználó webböngészési szokásait kémleli. Ennek során töretlenül figyelemmel kíséri a fertőzött számítógépről megnyitott weboldalakat. Bizonyos weblapok esetén átirányításokat hajt végre egy kártékony weboldalra. Így például a Google keresésekkor vagy az AOL weboldalainak megtekintésekor is aktivizálódik, és nemkívánatos webhelyekre vezeti a felhasználót. Egyéb weblapok esetén pedig egy hivatkozást szúr be a megjelenő oldalba.

Leírás

A Nurjax elsősorban a Program Files mappába általa létrehozott NJax nevű könyvtárba másolja be a saját fájljait, majd sok ponton manipulálja a regisztrációs adatbázist. Eközben néhány Windows-os szolgáltatást is beregisztrál, amikkel biztosítja, hogy a háttérben zavartalanul futhasson.

1. Létrehozza a következő állományokat:
%ProgramFiles%NJaxNJax.exe
%ProgramFiles%NJaxProtocolFilters.dll
%ProgramFiles%NJaxlibeay32.dll
%ProgramFiles%NJaxnfapi.dll
%ProgramFiles%NJaxnfregdrv.exe
%ProgramFiles%NJaxssleay32.dll
%ProgramFiles%NJaxuninstall_njax.exe
%System%driversmosfilterdrv.sys
%Temp%NJaxSSLNJax Intermediate SSL.cer
%Temp%NJaxSSLNJax Intermediate SSL.pvk

2. A regisztrációs adatbázishoz hozzáadja az alábbi értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”DisplayName” = “NJax”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ErrorControl” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ImagePath” = “%ProgramFiles%NJaxNJax.exe”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”ObjectName” = “LocalSystem”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”Start” = “2”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJax”Type” = “16”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNJaxSecurity”Security” = “[BINARY DATA]”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”DisplayName” = “mosfilterdrv”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”ErrorControl” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Group” = “PNP_TDI”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”ImagePath” = “system32driversmosfilterdrv.sys”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Start” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Tag” = “9”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrv”Type” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesmosfilterdrvSecurity”Security” = “[BINARY DATA]”

3. Létrehoz két Windows-os szolgáltatást a következők szerint:
mosfilterdrv (%System%driversmosfilterdrv.sys)
NJax (%ProgramFiles%NJaxNJax.exe)

4. A regisztrációs adatbázisba beszúrja az alábbi bejegyzéseket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV
“NextInstance” = “1”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV000
“Class” = “LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV000

“ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV000
“ConfigFlags” = “0”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV000
“DeviceDesc” = “mosfilterdrv”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV000
“Legacy” = “1”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_MOSFILTERDRV000
“Service” = “mosfilterdrv”

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX”NextInstance” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX000″Class” = “LegacyDriver”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX000″ClassGUID” = “{8ECC055D-047F-11D1-A537-0000F8753ED1}”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX000″ConfigFlags” = “0”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX000″DeviceDesc” = “NJax”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX000″Legacy” = “1”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_NJAX000″Service” = “NJax”

5. Módosítja az Internet Explorer beállításait:
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections”SavedLegacySettings” = “[BINARY DATA]”

6. Létrehozza az alábbi értékeket a regisztrációs adatbázisban:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“Comments” = “Browse safe online with our product! It alerts you if a page is harmful for your computer (Build ID: rSRyjmkbAFar8QUk)”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“DisplayName” = “NJax”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“DisplayVersion” = “1.1.0”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“Publisher” = “NINJASOFT LLC”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“QuietUninstallString” = “”%ProgramFiles%NJaxuninstall_njax.exe” S”

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallNJax
“UninstallString” = “”%ProgramFiles%NJaxuninstall_njax.exe” S”

HKEY_LOCAL_MACHINESOFTWARENJax”InstID” = “rOb0MBQXandPo6jVmKF4liSfWieXYvDD”
HKEY_LOCAL_MACHINESOFTWARENJax”Version” = “1.1.0”

7. Csatlakozik egy előre meghatározott távoli kiszolgálóhoz.

8. Letölt egy fájlt, amelyet az alábbiak szerint ment le:
%Temp%P_RuleList.txt

9. Folyamatosan monitorozza a webböngészést, és bizonyos weboldalak esetén átirányításokat hajt végre.

10. Manipulálja a webböngészőben megjelenő oldalakat, amelyekbe egy hivatkozást szúr be.

11. Letölt egy további állományt az alábbiak szerint:
%Temp%nj_update.exe

12. Ellenőrzi, hogy a számítógépen fut-e Avast védelmi alkalmazás.

Megoldás

Vírusirtó segítségével távolítsa el a fertőzést.


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »