Alias

Jenxcus, Autorun

 Plataforma:

Windows

 Riesgo general:
 Potencial de destrucción:
 Potencial de distribución:
 Infección divulgada:
 Revelación de la información:
Bajo
Medio
High
Crítico

  • Tipo de malware
    Worm

  • Destructivo?
    No

  • Cifrado
     

  • In the Wild:

  Resumen y descripción

Canal de infección Se propaga vía unidades extraíbles, Se envía como spam vía correo electrónico


  Detalles técnicos

Residente en memoria
Carga útil Compromises system security

Instalación

Infiltra los archivos siguientes:

  • {drive letter}:\{folder\file name}.lnk

Crea las siguientes copias de sí mismo en el sistema afectado:

  • %User Temp%\{malware file name}.vbs
  • %Application Data%\{malware file name}.vbs
  • %User Startup%\{malware file name}.vbs
  • {drive letter}:\{malware file name}.vbs

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).

. %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

. %User Startup% es la carpeta Inicio del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Menú Inicio\Programas\Inicio y en C:\Documents and Settings\{nombre de usuario}\Menú Inicio\Programas\Inicio).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\{malware file name}

Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "wscript.exe //B "%User Temp%\{malware file name}.vbs""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "wscript.exe //B "%User Temp%\{malware file name}.vbs""

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "wscript.exe //B "%Application Data%\{malware file name}.vbs""

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run
{malware file name} = "wscript.exe //B " %Application Data%\malware file name}.vbs""

HKEY_LOCAL_MACHINE\SOFTWARE\{malware file name}
(Default) = "{true or false (if executed from removable drive)} - {date of first execution}"

Relacionado entradas de blog