Nuqel.ZZ

CH azonosító

CH-11656

Angol cím

Worm:Win32/Nuqel.ZZ

Felfedezés dátuma

2014.09.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Nuqel.ZZ féreg meglehetősen gyorsan képes terjedni a számítógépek között. Ennek egyebek mellett az az oka, hogy a kártékony program több terjedési csatornát is felhasznál a céljai elérése érdekében. Így például – megfelelő védelem hiányában – minden gond nélkül képes cserélhető meghajtókon, valamint hálózati megosztásokon keresztül terjedni. Emellett a féreg az elektronikus levelek adta lehetőségekkel is megpróbál élni, és e-mailek mellékleteként minél több postafiókba bekerülni. 

A féreg ütemezett feladatok révén biztosítja azt, hogy naponta legalább egyszer biztosan lefusson, és elvégezze a terjedéséhez szükséges teendőket. A jelenlegi variánsa úgy állítja be az ütemezést, hogy a hét minden napján, pontban 9 órakor elinduljon.

A Nuqel.ZZ leginkább a terjedésére koncentrál, és nem végez egyéb kártékony műveleteket. Természetesen ez a jövőben esetlegesen megjelenő variánsainak esetében megváltozhat.

Leírás

1. Létrehozza a következő állományokat:
%windir%regsvr.exe
%System%regsvr.exe
%System%svchost .exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell=”explorer.exe regsvr.exe”

3. Felmásolja a rendszerre a következő fájlokat:
%System%setup.ini
c:documents and settingsadministratorlocal settingstempaute.tmp

4. Ütemezett feladatokat hoz létre az alábbiak szerint:
cmd.exe /C AT /delete /yes
cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %System%svchost .exe

5. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKLMSYSTEMCurrentControlSetServicesScheduleAtTaskMaxHours=”0″

6. Megpróbál cserélhető és hálózati meghajtókon keresztül további számítógépekre felkerülni.

7. Megpróbál elektronikus levelezés útján tovább terjedni.

Megoldás

Frissítse a víruskereső adatbázisát.


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-4632 – Samsung MagicINFO 9 Server Path Traversal sérülékenysége
CVE-2023-38950 – ZKTeco BioTime Path Traversal sérülékenysége
CVE-2025-27920 – Srimax Output Messenger Directory Traversal sérülékenysége
CVE-2025-4428 – Ivanti Endpoint Manager Mobile (EPMM) Code Injection sérülékenysége
CVE-2025-4427 – Ivanti Endpoint Manager Mobile (EPMM) Authentication Bypass sérülékenysége
CVE-2024-27443 – Synacor Zimbra Collaboration Suite (ZCS) Cross-Site Scripting (XSS) sérülékenysége
CVE-2024-11182 – MDaemon Email Server Cross-Site Scripting (XSS) sérülékenysége
CVE-2025-42999 – SAP NetWeaver Deserialization sérülékenysége
CVE-2024-12987 – DrayTek Vigor Routers OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »