Win32/Jenxcus

CH azonosító

CH-10350

Angol cím

Win32/Jenxcus

Felfedezés dátuma

2014.01.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Win32/Jenxcus féreg lehetőséget biztosít a hackereknek, hogy hozzáférjenek a számítógéphez. Összegyűjti az információkat, és elküldi a program készítőjének.

A féreg hordozható adattárolóról települ a számítógépre, de internetről (pl.: torrent letöltéssel) is fertőzhet.

Leírás

Win32/Jenxcus  a következő könyvtárakba másolja magát.

  • %APPDATA%
  • %ProgramData%
  • %ProgramFiles%
  • %TEMP%
  • %USERPROFILE%
  • %windir%

Az alábbi fájlneveket használja:

  • njw0rm.exe
  • WinAuto.exe
  • WinAutoi.exe

Bemásolja magát a következő helyre annak érdekében, hogy automatikusan indulhasson:

<startup folder> “<malware file name>”, for example <startup folder>njw0rm.exe

Módosítja a regisztrációs adatbázist annak érdekében, hogy automatikusan indulhasson:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun <malware file name>  %TEMP%njw0rm.exe


HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun “<malware file name>” “<malware folder and file name>”

A féreg észleli a hordozható adattárolókat amik a számítógéphez kapcsolódnak, és bemásolja magát a fő könytárába. Létrehoz egy parancsnikont, ami a meghajtóra mutat.

A féreg torrent fájllal is fertőzhet, ami internetről tölthető le.

Win32/Jenxcus hozzáférést biztosít a számítógéphez és a támadó a következőket tudja tenni:

  • Futtat fájlokat
  • Ellopja a felhasználóneveket és jelszavakat, amiket egy weboldalhoz használatához szükséges
  • Frissíti magát
  • Törli magát

A következő információkat küldi a hackernek.

  • Látogatott IP címek
  • Csatlakoztatott USB meghajtók
  • Akítv ablakok
  • Felhasználók
  • Operációs rendszer

A következő távoli kiszolgálókhoz próbál csatlakozni a 1888 porton keresztül.

  • a.servecounterstrike.com
  • eqe.sytes.net
  • jnj.redirectme.net
  • winlogon.servecounterstrike.com
  • 3dmntk.no-ip.biz

Megoldás

Naprakész vírusírtó segítségével teljes rendszervizsgálat.

Ha a kártékony program eltávolításra került, változtassa meg a jelszavait.