Win32/Jenxcus


2014. január 15. 09:03

CH azonosító

CH-10350

Angol cím

Win32/Jenxcus

Felfedezés dátuma

2014.01.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Win32/Jenxcus féreg lehetőséget biztosít a hackereknek, hogy hozzáférjenek a számítógéphez. Összegyűjti az információkat, és elküldi a program készítőjének.

A féreg hordozható adattárolóról települ a számítógépre, de internetről (pl.: torrent letöltéssel) is fertőzhet.

Leírás

Win32/Jenxcus  a következő könyvtárakba másolja magát.

  • %APPDATA%
  • %ProgramData%
  • %ProgramFiles%
  • %TEMP%
  • %USERPROFILE%
  • %windir%

Az alábbi fájlneveket használja:

  • njw0rm.exe
  • WinAuto.exe
  • WinAutoi.exe

Bemásolja magát a következő helyre annak érdekében, hogy automatikusan indulhasson:

<startup folder> “<malware file name>”, for example <startup folder>njw0rm.exe

Módosítja a regisztrációs adatbázist annak érdekében, hogy automatikusan indulhasson:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun <malware file name>  %TEMP%njw0rm.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun “<malware file name>” “<malware folder and file name>”

A féreg észleli a hordozható adattárolókat amik a számítógéphez kapcsolódnak, és bemásolja magát a fő könytárába. Létrehoz egy parancsnikont, ami a meghajtóra mutat.

A féreg torrent fájllal is fertőzhet, ami internetről tölthető le.

Win32/Jenxcus hozzáférést biztosít a számítógéphez és a támadó a következőket tudja tenni:

  • Futtat fájlokat
  • Ellopja a felhasználóneveket és jelszavakat, amiket egy weboldalhoz használatához szükséges
  • Frissíti magát
  • Törli magát

A következő információkat küldi a hackernek.

  • Látogatott IP címek
  • Csatlakoztatott USB meghajtók
  • Akítv ablakok
  • Felhasználók
  • Operációs rendszer

A következő távoli kiszolgálókhoz próbál csatlakozni a 1888 porton keresztül.

  • a.servecounterstrike.com
  • eqe.sytes.net
  • jnj.redirectme.net
  • winlogon.servecounterstrike.com
  • 3dmntk.no-ip.biz

Megoldás

Naprakész vírusírtó segítségével teljes rendszervizsgálat.

Ha a kártékony program eltávolításra került, változtassa meg a jelszavait.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
CVE-2021-41277 – Metabase GeoJSON API Local File Inclusion Sebezhetőség
CVE-2024-9465 – Palo Alto Networks Expedition SQL Injection sérülékenysége
CVE-2024-9463 – Palo Alto Networks Expedition OS Command Injection sérülékenység
CVE-2024-10914 – D-Link DNS-320, DNS-320LW, DNS-325, DNS-340L NAS termékek sérülékenysége
CVE-2024-49019 – Active Directory Certificate Services jogosultsági szint emelését lehetővé tévő sérülékenysége
CVE-2024-49040 – Microsoft Exchange Server Spoofing sebezhetősége
CVE-2024-43451 – NTLM Hash Sebezhetőség
CVE-2024-49039 – Windows Task Scheduler jogosultsági szint emelésre kihasználható sérülékenysége
CVE-2024-20418 – Cisco Unified Industrial Wireless Software for Cisco Ultra-Reliable Wireless Backhaul (URWB) Access Pointok sérülékenysége
Tovább a sérülékenységekhez »