Nuqel.ZZ


2014. szeptember 27. 07:10

CH azonosító

CH-11656

Angol cím

Worm:Win32/Nuqel.ZZ

Felfedezés dátuma

2014.09.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Nuqel.ZZ féreg meglehetősen gyorsan képes terjedni a számítógépek között. Ennek egyebek mellett az az oka, hogy a kártékony program több terjedési csatornát is felhasznál a céljai elérése érdekében. Így például – megfelelő védelem hiányában – minden gond nélkül képes cserélhető meghajtókon, valamint hálózati megosztásokon keresztül terjedni. Emellett a féreg az elektronikus levelek adta lehetőségekkel is megpróbál élni, és e-mailek mellékleteként minél több postafiókba bekerülni. 

A féreg ütemezett feladatok révén biztosítja azt, hogy naponta legalább egyszer biztosan lefusson, és elvégezze a terjedéséhez szükséges teendőket. A jelenlegi variánsa úgy állítja be az ütemezést, hogy a hét minden napján, pontban 9 órakor elinduljon.

A Nuqel.ZZ leginkább a terjedésére koncentrál, és nem végez egyéb kártékony műveleteket. Természetesen ez a jövőben esetlegesen megjelenő variánsainak esetében megváltozhat.

Leírás

1. Létrehozza a következő állományokat:
%windir%regsvr.exe
%System%regsvr.exe
%System%svchost .exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell=”explorer.exe regsvr.exe”

3. Felmásolja a rendszerre a következő fájlokat:
%System%setup.ini
c:documents and settingsadministratorlocal settingstempaute.tmp

4. Ütemezett feladatokat hoz létre az alábbiak szerint:
cmd.exe /C AT /delete /yes
cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %System%svchost .exe

5. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKLMSYSTEMCurrentControlSetServicesScheduleAtTaskMaxHours=”0″

6. Megpróbál cserélhető és hálózati meghajtókon keresztül további számítógépekre felkerülni.

7. Megpróbál elektronikus levelezés útján tovább terjedni.

Megoldás

Frissítse a víruskereső adatbázisát.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
CVE-2024-1874 – PHP sérülékenysége
CVE-2024-24576 – Rust sérülékenysége
CVE-2023-45590 – Fortinet FortiClientLinux sérülékenysége
CVE-2024-29988 – Microsoft Windows SmartScreen sérülékenysége
CVE-2024-26234 – Microsoft Windows proxy driver sérülékenysége
CVE-2023-6320 – LG webOS sérülékenysége
CVE-2023-6319 – LG webOS sérülékenysége
Tovább a sérülékenységekhez »