Zlob.Q trójai

CH azonosító

CH-13022

Angol cím

Trojan.Zlob.Q

Felfedezés dátuma

2016.02.02.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Windows 2000, Windows 7, Windows Vista, Windows XP, Windows 8, Windows 8.1, Windows 10

Összefoglaló

A Zlob trójai Q betűjelű változata elsősorban két céllal terjed. Egyrészt további kártékony programokkal igyekszik elhalmozni az általa ostromlott számítógépeket, másrészt hálózati átirányítások révén segítheti az adathalászok vagy a vírusterjesztők dolgát. 

A Zlob egy ütemezett feladatot hoz létre, ami naponta egyszer egy PowerShell scriptet futtat le. A kis kód feladata, hogy további nemkívánatos programokat töltsön le távoli kiszolgálókról, illetve elindítsa, szükség esetén feltelepítse azokat.

A Zlob.Q a különféle átirányításokat a DNS-beállítások manipulálásával éri el. A DNS szerverek címének módosításával lehetőséget ad egyebek mellett az adathalászok számára, hogy ártalmas weboldalakra vezessék a felhasználókat.

Leírás

1. Létrehozza a következő állományokat:
%SystemDrive%Documents and SettingsAdministratorLocal SettingsTemp[véletlenszerű karakterek]
%SystemDrive%Documents and SettingsAll UsersApplication Data{145911ff-70c8-1}BIT1C.tmp
%SystemDrive%Documents and SettingsAll UsersApplication Data{2182672b-20c8-0}BIT1D.tmp

2. Beállít egy ütemezett feladatot, amely egy PowerShell scriptet futtat le naponta egyszer:
%SystemDrive%WINDOWSTasks[véletlenszerű karakterek].job

3. A script segítségével további fájlokat tölt le.

4. A regisztrációs adatbázishoz hozzáfűzi a következő értékeket:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”NameServer” : „199.203.131.151 82.163.143.181”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{121002E0-F353-48CD-926F-EDFFABEE08AF}”NameServer” : „199.203.131.151.82.163.143.181”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces{121002E0-F353-48CD-926F-EDFFABEE08AF}”DhcpNameServer” : „199.203.131.151”
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters”DhcpNameServer” : „199.203.131.151”

5. Manipulálja a DNS beállításokat.

6. Távoli szerverekhez kapcsolódik, amelyekről fájlokat tölt le.

7. Összegyűjti, majd kiszivárogtatja az operációs rendszer legfontosabb paramétereit.

Megoldás


Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-25181 – Advantive VeraCore SQL Injection sebezhetősége
CVE-2025-22224 – VMware ESXi és Workstation sérülékenysége
CVE-2025-22225 – VMware ESXi sérülékenysége
CVE-2025-22226 – VMware ESXi, Workstation és Fusion sérülékenysége
CVE-2022-43939 – Hitachi Vantara Pentaho BA Server Authorization Bypass sebezhetősége
CVE-2022-43769 – Hitachi Vantara Pentaho BA Server Special Element Injection sebezhetősége
CVE-2024-4885 – Progress WhatsUp Gold Path Traversal sebezhetősége
CVE-2018-8639 – Microsoft Windows Win32k Improper Resource Shutdown or Release sebezhetősége
CVE-2023-20025 – Cisco Small Business Routers sebezhetősége
Tovább a sérülékenységekhez »