Win32/Jenxcus


2014. január 15. 09:03

CH azonosító

CH-10350

Angol cím

Win32/Jenxcus

Felfedezés dátuma

2014.01.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Win32/Jenxcus féreg lehetőséget biztosít a hackereknek, hogy hozzáférjenek a számítógéphez. Összegyűjti az információkat, és elküldi a program készítőjének.

A féreg hordozható adattárolóról települ a számítógépre, de internetről (pl.: torrent letöltéssel) is fertőzhet.

Leírás

Win32/Jenxcus  a következő könyvtárakba másolja magát.

  • %APPDATA%
  • %ProgramData%
  • %ProgramFiles%
  • %TEMP%
  • %USERPROFILE%
  • %windir%

Az alábbi fájlneveket használja:

  • njw0rm.exe
  • WinAuto.exe
  • WinAutoi.exe

Bemásolja magát a következő helyre annak érdekében, hogy automatikusan indulhasson:

<startup folder> “<malware file name>”, for example <startup folder>njw0rm.exe

Módosítja a regisztrációs adatbázist annak érdekében, hogy automatikusan indulhasson:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun <malware file name>  %TEMP%njw0rm.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun “<malware file name>” “<malware folder and file name>”

A féreg észleli a hordozható adattárolókat amik a számítógéphez kapcsolódnak, és bemásolja magát a fő könytárába. Létrehoz egy parancsnikont, ami a meghajtóra mutat.

A féreg torrent fájllal is fertőzhet, ami internetről tölthető le.

Win32/Jenxcus hozzáférést biztosít a számítógéphez és a támadó a következőket tudja tenni:

  • Futtat fájlokat
  • Ellopja a felhasználóneveket és jelszavakat, amiket egy weboldalhoz használatához szükséges
  • Frissíti magát
  • Törli magát

A következő információkat küldi a hackernek.

  • Látogatott IP címek
  • Csatlakoztatott USB meghajtók
  • Akítv ablakok
  • Felhasználók
  • Operációs rendszer

A következő távoli kiszolgálókhoz próbál csatlakozni a 1888 porton keresztül.

  • a.servecounterstrike.com
  • eqe.sytes.net
  • jnj.redirectme.net
  • winlogon.servecounterstrike.com
  • 3dmntk.no-ip.biz

Megoldás

Naprakész vírusírtó segítségével teljes rendszervizsgálat.

Ha a kártékony program eltávolításra került, változtassa meg a jelszavait.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
CVE-2025-34026 – Versa Concerto Improper Authentication sérülékenység
CVE-2025-68645 – Synacor Zimbra Collaboration Suite (ZCS) PHP Remote File Inclusion sérülékenység
CVE-2026-20045 – Cisco Unified Communications Products Code Injection sérülékenység
CVE-2026-22844 – Zoom Node Multimedia Routers sérülékenysége
CVE-2025-14533 – WordPress ACF Extended Plugin sérülékenysége
CVE-2026-23550 – WordPress Modular DS plugin Privilege Escalation sérülékenysége
CVE-2023-31096 – Windows Agere Soft Modem Driver Elevation of Privilege sérülékenység
CVE-2026-21265 – Secure Boot Certificate Expiration Security Feature Bypass sérülékenység
Tovább a sérülékenységekhez »