Win32/Jenxcus


2014. január 15. 09:03

CH azonosító

CH-10350

Angol cím

Win32/Jenxcus

Felfedezés dátuma

2014.01.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

Win32/Jenxcus féreg lehetőséget biztosít a hackereknek, hogy hozzáférjenek a számítógéphez. Összegyűjti az információkat, és elküldi a program készítőjének.

A féreg hordozható adattárolóról települ a számítógépre, de internetről (pl.: torrent letöltéssel) is fertőzhet.

Leírás

Win32/Jenxcus  a következő könyvtárakba másolja magát.

  • %APPDATA%
  • %ProgramData%
  • %ProgramFiles%
  • %TEMP%
  • %USERPROFILE%
  • %windir%

Az alábbi fájlneveket használja:

  • njw0rm.exe
  • WinAuto.exe
  • WinAutoi.exe

Bemásolja magát a következő helyre annak érdekében, hogy automatikusan indulhasson:

<startup folder> „<malware file name>”, for example <startup folder>njw0rm.exe

Módosítja a regisztrációs adatbázist annak érdekében, hogy automatikusan indulhasson:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun <malware file name>  %TEMP%njw0rm.exe

HKLMSoftwareMicrosoftWindowsCurrentVersionRun or HKCUSoftwareMicrosoftWindowsCurrentVersionRun „<malware file name>” „<malware folder and file name>”

A féreg észleli a hordozható adattárolókat amik a számítógéphez kapcsolódnak, és bemásolja magát a fő könytárába. Létrehoz egy parancsnikont, ami a meghajtóra mutat.

A féreg torrent fájllal is fertőzhet, ami internetről tölthető le.

Win32/Jenxcus hozzáférést biztosít a számítógéphez és a támadó a következőket tudja tenni:

  • Futtat fájlokat
  • Ellopja a felhasználóneveket és jelszavakat, amiket egy weboldalhoz használatához szükséges
  • Frissíti magát
  • Törli magát

A következő információkat küldi a hackernek.

  • Látogatott IP címek
  • Csatlakoztatott USB meghajtók
  • Akítv ablakok
  • Felhasználók
  • Operációs rendszer

A következő távoli kiszolgálókhoz próbál csatlakozni a 1888 porton keresztül.

  • a.servecounterstrike.com
  • eqe.sytes.net
  • jnj.redirectme.net
  • winlogon.servecounterstrike.com
  • 3dmntk.no-ip.biz

Megoldás

Naprakész vírusírtó segítségével teljes rendszervizsgálat.

Ha a kártékony program eltávolításra került, változtassa meg a jelszavait.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Misconfiguration (Konfiguráció)
Other (Egyéb)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)

Szükséges hozzáférés

Local/Shell (Helyi/shell)
Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.microsoft.com

Legfrissebb sérülékenységek
CVE-2024-20358 – Cisco ASA és FTD sérülékenysége
CVE-2024-20359 – Cisco ASA és FTD sérülékenysége
CVE-2024-20353 – Cisco ASA és FTD sérülékenysége
CVE-2024-31857 – WordPress Forminator plugin sérülékenysége
CVE-2024-31077 – WordPress Forminator plugin sérülékenysége
CVE-2024-28890 – WordPress Forminator plugin sérülékenysége
CVE-2024-20295 – Cisco IMC sérülékenysége
CVE-2024-3400 – Palo Alto Networks PAN-OS sérülékenysége
CVE-2024-3566 – Windows CreateProcess sérülékenysége
CVE-2024-22423 – yt-dlp sérülékenysége
Tovább a sérülékenységekhez »