Zlob.Q trójai

CH azonosító

CH-13022

Angol cím

Trojan.Zlob.Q

Felfedezés dátuma

2016.02.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows Vista, Windows XP, Windows 8, Windows 8.1, Windows 10

Összefoglaló

A Zlob trójai Q betűjelű változata elsősorban két céllal terjed. Egyrészt további kártékony programokkal igyekszik elhalmozni az általa ostromlott számítógépeket, másrészt hálózati átirányítások révén segítheti az adathalászok vagy a vírusterjesztők dolgát. 

A Zlob egy ütemezett feladatot hoz létre, ami naponta egyszer egy PowerShell scriptet futtat le. A kis kód feladata, hogy további nemkívánatos programokat töltsön le távoli kiszolgálókról, illetve elindítsa, szükség esetén feltelepítse azokat.

A Zlob.Q a különféle átirányításokat a DNS-beállítások manipulálásával éri el. A DNS szerverek címének módosításával lehetőséget ad egyebek mellett az adathalászok számára, hogy ártalmas weboldalakra vezessék a felhasználókat.

Leírás

1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAdministratorLocal SettingsTemp[véletlenszerű karakterek]
%SystemDrive%Documents and SettingsAll UsersApplication Data{145911ff-70c8-1}BIT1C.tmp
%SystemDrive%Documents and SettingsAll UsersApplication Data{2182672b-20c8-0}BIT1D.tmp

2. Beállít egy ütemezett feladatot, amely egy PowerShell scriptet futtat le naponta egyszer:
%SystemDrive%WINDOWSTasks[véletlenszerű karakterek].job

3. A script segítségével további fájlokat tölt le.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”NameServer” : “199.203.131.151 82.163.143.181”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{121002E0-F353-48CD-926F-EDFFABEE08AF}”NameServer” : “199.203.131.151.82.163.143.181”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{121002E0-F353-48CD-926F-EDFFABEE08AF}”DhcpNameServer” : “199.203.131.151”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”DhcpNameServer” : “199.203.131.151”

5. Manipulálja a DNS beállításokat.

6. Távoli szerverekhez kapcsolódik, amelyekről fájlokat tölt le.

7. Összegyűjti, majd kiszivárogtatja az operációs rendszer legfontosabb paramétereit.

Megoldás


Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »