Win32/Jenxcus


2014. január 15. 09:03

CH azonosító

CH-10350

Angol cím

Win32/Jenxcus

Felfedezés dátuma

2014.01.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Win32/Jenxcus féreg lehetőséget biztosít a hackereknek, hogy hozzáférjenek a számítógéphez. Összegyűjti az információkat, és elküldi a program készítőjének.

A féreg hordozható adattárolóról települ a számítógépre, de internetről (pl.: torrent letöltéssel) is fertőzhet.

Leírás

Win32/Jenxcus  a következő könyvtárakba másolja magát.

  • %APPDATA%
  • %ProgramData%
  • %ProgramFiles%
  • %TEMP%
  • %USERPROFILE%
  • %windir%

Az alábbi fájlneveket használja:

  • njw0rm.exe
  • WinAuto.exe
  • WinAutoi.exe

Bemásolja magát a következő helyre annak érdekében, hogy automatikusan indulhasson:

<startup folder> “<malware file name>”, for example <startup folder>njw0rm.exe

Módosítja a regisztrációs adatbázist annak érdekében, hogy automatikusan indulhasson:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun <malware file name>  %TEMP%njw0rm.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun “<malware file name>” “<malware folder and file name>”

A féreg észleli a hordozható adattárolókat amik a számítógéphez kapcsolódnak, és bemásolja magát a fő könytárába. Létrehoz egy parancsnikont, ami a meghajtóra mutat.

A féreg torrent fájllal is fertőzhet, ami internetről tölthető le.

Win32/Jenxcus hozzáférést biztosít a számítógéphez és a támadó a következőket tudja tenni:

  • Futtat fájlokat
  • Ellopja a felhasználóneveket és jelszavakat, amiket egy weboldalhoz használatához szükséges
  • Frissíti magát
  • Törli magát

A következő információkat küldi a hackernek.

  • Látogatott IP címek
  • Csatlakoztatott USB meghajtók
  • Akítv ablakok
  • Felhasználók
  • Operációs rendszer

A következő távoli kiszolgálókhoz próbál csatlakozni a 1888 porton keresztül.

  • a.servecounterstrike.com
  • eqe.sytes.net
  • jnj.redirectme.net
  • winlogon.servecounterstrike.com
  • 3dmntk.no-ip.biz

Megoldás

Naprakész vírusírtó segítségével teljes rendszervizsgálat.

Ha a kártékony program eltávolításra került, változtassa meg a jelszavait.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2025-31330 – SAP Landscape Transformation sebezhetősége
CVE-2025-27429 – SAP sebezhetősége
CVE-2025-21204 – Windows Process Activation Elevation of Privilege sebezhetősége
CVE-2025-32432 – Craft CMS RCE sebezhetősége
CVE-2025-1976 – Broadcom Brocade Fabric OS Code Injection sebezhetősége
CVE-2025-31324 – SAP NetWeaver sebezhetősége
CVE-2025-2492 – ASUS Router AiCloud sérülékenysége
CVE-2025-42599 – Active! mail sérülékenysége
CVE-2025-31200 – Apple Memory Corruption sérülékenysége
Tovább a sérülékenységekhez »