우르수 트로이 목마
위협 스코어카드
EnigmaSoft 위협 스코어카드
EnigmaSoft Threat Scorecard는 당사 연구팀이 수집 및 분석한 다양한 악성코드 위협에 대한 평가 보고서입니다. EnigmaSoft Threat Scorecard는 실제 및 잠재적 위험 요인, 추세, 빈도, 확산 및 지속성을 포함한 여러 메트릭을 사용하여 위협을 평가하고 순위를 지정합니다. EnigmaSoft Threat Scorecard는 당사의 연구 데이터 및 메트릭을 기반으로 정기적으로 업데이트되며 시스템에서 맬웨어를 제거하기 위한 솔루션을 찾는 최종 사용자부터 위협을 분석하는 보안 전문가에 이르기까지 광범위한 컴퓨터 사용자에게 유용합니다.
EnigmaSoft Threat Scorecard는 다음과 같은 다양한 유용한 정보를 표시합니다.
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
심각도 수준: 위협 평가 기준 에 설명된 대로 위험 모델링 프로세스 및 연구를 기반으로 숫자로 표시된 개체의 결정된 심각도 수준입니다.
감염된 컴퓨터: SpyHunter에서 보고한 감염된 컴퓨터에서 탐지된 특정 위협의 확인 및 의심 사례 수입니다.
위협 평가 기준 도 참조하십시오.
| Popularity Rank: | 14,588 |
| 위협 수준: | 90 % (높은) |
| 감염된 컴퓨터: | 105,065 |
| 처음 본 것: | September 15, 2015 |
| 마지막으로 본: | November 8, 2025 |
| 영향을 받는 OS: | Windows |
Ursu는 종종 시스템 취약성과 보안 결함을 악용하여 사용자 모르게 또는 동의 없이 컴퓨터에 침투하는 위협적인 트로이 목마입니다. 손상된 웹사이트 또는 신뢰할 수 없는 소스의 이메일 첨부 파일에서 다운로드할 수 있습니다. 무기화된 파일은 .exe, .pif, .avi 및 .jpg 파일과 같은 다양한 유형의 파일일 수 있습니다.
일단 설치되면 Ursu는 백그라운드에 숨겨진 상태로 유지되며 위협 행위자가 피해자의 시스템을 완전히 제어할 수 있도록 하는 다양한 유해 기능을 수행할 가능성이 높습니다. Ursu 트로이 목마의 위협적인 기능에는 파일 삭제, 추가 맬웨어 설치, 암호 수집, 시스템 설정 변경 및 컴퓨터 활동 모니터링이 포함될 수 있습니다. Ursu는 자신을 복제할 수 없기 때문에 컴퓨터 사용자는 Ursu가 컴퓨터에 설치되지 않도록 컴퓨터를 보호하는 조치를 취해야 합니다.
목차
Ursu 트로이 목마와 같은 위협은 얼마나 해로운가
트로이 목마 위협은 일반적으로 파일 공유, 다운로드 또는 이메일을 통해 확산되는 합법적인 소프트웨어 또는 파일에 삽입되거나 위장할 수 있는 맬웨어입니다. 일단 컴퓨터에 들어가면 시스템 기능을 비활성화하고, 개인 정보를 가로채고, 네트워크에 연결된 다른 장치에 액세스하거나, 운영자에게 침해된 장치에 대한 원격 액세스를 제공하여 손상을 일으킬 수 있습니다.
일반적으로 트로이 목마는 해커에게 사용자 장치에 대한 액세스 권한을 부여하여 리소스를 제어하고 랜섬웨어 및 데이터 도용과 같은 추가 공격 기회를 여는 데 사용됩니다. 경우에 따라 해커가 배포하여 네트워크 및 웹 사이트에 대한 DDoS(분산 서비스 거부) 공격을 생성합니다. 또는 키로거, 암호화 채굴기 등과 같은 추가 위협 소프트웨어를 PC에 설치하는 데 사용할 수 있습니다.
Ursu 트로이 목마 공격을 피하는 방법?
설치된 모든 프로그램을 최신 상태로 유지하면 공격자가 노리는 보안 취약성으로부터 보호할 수 있습니다. 이는 운영 체제뿐만 아니라 브라우저나 이메일 클라이언트와 같은 모든 애플리케이션에도 적용됩니다. 필수 데이터를 정기적으로 백업하면 유해한 도구가 시스템에 침투하여 문제가 발생하는 경우 손실된 데이터를 쉽게 복원할 수 있습니다.
또한 요청하지 않은 이메일을 통해 전송된 링크를 클릭할 때 항상 주의하는 것이 중요합니다. 이 전술은 사용자가 손상된 파일을 다운로드하도록 속이려는 공격자가 자주 사용합니다. 알 수 없는 발신자로부터 첨부 파일이 포함된 의심스러운 이메일을 받은 경우 발신자의 적법성을 확인할 수 있을 때까지 해당 이메일과 상호 작용하지 마십시오.
레지스트리 세부 정보
분석 보고서
일반 정보
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
파일 크기:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| 이름 | 값 |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | 데이터 | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
