Nuqel.ZZ


2014. szeptember 27. 07:10

CH azonosító

CH-11656

Angol cím

Worm:Win32/Nuqel.ZZ

Felfedezés dátuma

2014.09.25.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A Nuqel.ZZ féreg meglehetősen gyorsan képes terjedni a számítógépek között. Ennek egyebek mellett az az oka, hogy a kártékony program több terjedési csatornát is felhasznál a céljai elérése érdekében. Így például – megfelelő védelem hiányában – minden gond nélkül képes cserélhető meghajtókon, valamint hálózati megosztásokon keresztül terjedni. Emellett a féreg az elektronikus levelek adta lehetőségekkel is megpróbál élni, és e-mailek mellékleteként minél több postafiókba bekerülni. 

A féreg ütemezett feladatok révén biztosítja azt, hogy naponta legalább egyszer biztosan lefusson, és elvégezze a terjedéséhez szükséges teendőket. A jelenlegi variánsa úgy állítja be az ütemezést, hogy a hét minden napján, pontban 9 órakor elinduljon.

A Nuqel.ZZ leginkább a terjedésére koncentrál, és nem végez egyéb kártékony műveleteket. Természetesen ez a jövőben esetlegesen megjelenő variánsainak esetében megváltozhat.

Leírás

1. Létrehozza a következő állományokat:
%windir%regsvr.exe
%System%regsvr.exe
%System%svchost .exe

2. A regisztrációs adatbázishoz hozzáadja az alábbi értéket:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell=”explorer.exe regsvr.exe”

3. Felmásolja a rendszerre a következő fájlokat:
%System%setup.ini
c:documents and settingsadministratorlocal settingstempaute.tmp

4. Ütemezett feladatokat hoz létre az alábbiak szerint:
cmd.exe /C AT /delete /yes
cmd.exe /C AT 09:00 /interactive /EVERY:m,t,w,th,f,s,su %System%svchost .exe

5. A regisztrációs adatbázisban manipulálja a következő értékeket:
HKLMSYSTEMCurrentControlSetServicesScheduleAtTaskMaxHours=”0″

6. Megpróbál cserélhető és hálózati meghajtókon keresztül további számítógépekre felkerülni.

7. Megpróbál elektronikus levelezés útján tovább terjedni.

Megoldás

Frissítse a víruskereső adatbázisát.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.isbk.hu
Egyéb referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2023-1289 – ImageMagick sérülékenysége
CVE-2023-1050 – Koc Energy Web Report System sérülékenysége
CVE-2022-22512 – VARTA Storage Web-UI sérülékenysége
CVE-2023-25859 – Adobe Illustrator sérülékenysége
CVE-2023-25860 – Adobe Illustrator sérülékenysége
CVE-2023-25861 – Adobe Illustrator sérülékenysége
CVE-2023-26358 – Adobe Creative Cloud sérülékenysége
CVE-2023-26426 – Adobe Illustrator sérülékenysége
CVE-2023-27855 – Rockwell Automation's ThinManager ThinServer sérülékenysége
CVE-2022-45124 – wellintech / kinghistorian sérülékenysége
Tovább a sérülékenységekhez »