Nuqel.ZZ


2014. szeptember 27. 07:10

CH azonosító

CH-11656

Angol cím

Worm:Win32/Nuqel.ZZ

Felfedezés dátuma

2014.09.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Nuqel.ZZ féreg meglehetősen gyorsan képes terjedni a számítógépek között. Ennek egyebek mellett az az oka, hogy a kártékony program több terjedési csatornát is felhasznál a céljai elérése érdekében. Így például – megfelelő védelem hiányában – minden gond nélkül képes cserélhető meghajtókon, valamint hálózati megosztásokon keresztül terjedni. Emellett a féreg az elektronikus levelek adta lehetőségekkel is megpróbál élni, és e-mailek mellékleteként minél több postafiókba bekerülni. 

A féreg ütemezett feladatok révén biztosítja azt, hogy naponta legalább egyszer biztosan lefusson, és elvégezze a terjedéséhez szükséges teendőket. A jelenlegi variánsa úgy állítja be az ütemezést, hogy a hét minden napján, pontban 9 órakor elinduljon.

A Nuqel.ZZ leginkább a terjedésére koncentrál, és nem végez egyéb kártékony műveleteket. Természetesen ez a jövőben esetlegesen megjelenő variánsainak esetében megváltozhat.

Leírás

1. Létrehozza a következő állományokat:
%windir%regsvr.exe
%System%regsvr.exe
%System%svchost .exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell=”explorer.exe regsvr.exe”

3. Felmásolja a rendszerre a következő fájlokat:
%System%setup.ini
c:documents and settingsadministratorlocal settingstempaute.tmp

4. Ütemezett feladatokat hoz létre az alábbiak szerint:
cmd.exe /C AT /delete /yes
cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %System%svchost .exe

5. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKLMSYSTEMCurrentControlSetServicesScheduleAtTaskMaxHours=”0″

6. Megpróbál cserélhető és hálózati meghajtókon keresztül további számítógépekre felkerülni.

7. Megpróbál elektronikus levelezés útján tovább terjedni.

Megoldás

Frissítse a víruskereső adatbázisát.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2025-21308 – Windows Themes Spoofing sebezhetősége
CVE-2025-21275 – Windows App Package Installer Elevation of Privilege sebezhetősége
CVE-2025-21335 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21334 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21333 – Microsoft Windows Hyper-V NT Kernel Integration VSP Heap-based Buffer Overflow sebezhetősége
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
Tovább a sérülékenységekhez »