Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Ursu-trojan

Ursu-trojan

Tegen Mezo in Malware, Trojanen
Vertalen naar:

Bedreigingsscorekaart

Popularity Rank: 14,588
Dreigingsniveau: 90 % (Hoog)
Geïnfecteerde computers: 105,065
Eerst gezien: September 15, 2015
Laatst gezien: November 8, 2025
Beïnvloede besturingssystemen: Windows

Ursu is een bedreigende trojan die uw computer infiltreert zonder uw medeweten of toestemming, vaak door misbruik te maken van systeemkwetsbaarheden en beveiligingsfouten. Het kan worden gedownload van beschadigde websites of e-mailbijlagen van niet-vertrouwde bronnen. De bewapende bestanden kunnen van verschillende typen zijn, zoals .exe-, .pif-, .avi- en zelfs .jpg-bestanden.

Eenmaal geïnstalleerd, blijft Ursu verborgen op de achtergrond en zal het waarschijnlijk verschillende schadelijke functies uitvoeren waardoor aanvallers volledige controle krijgen over het systeem van het slachtoffer. De bedreigende mogelijkheden van de Ursu Trojan kunnen bestaan uit het verwijderen van bestanden, het installeren van extra malware, het verzamelen van wachtwoorden, het wijzigen van systeeminstellingen en het monitoren van de computeractiviteit. Omdat Ursu zichzelf niet kan repliceren, moeten computergebruikers maatregelen nemen om hun machines ertegen te beschermen om te voorkomen dat het op hun computers wordt geïnstalleerd.

Hoe schadelijk zijn bedreigingen zoals de Ursu Trojan

Een trojan-dreiging is malware die kan worden geïnjecteerd in of kan worden vermomd als legitieme software of bestanden, die meestal wordt verspreid via het delen van bestanden, downloads of e-mails. Eenmaal in uw computer kan het schade aanrichten door systeemfuncties uit te schakelen, persoonlijke informatie te kapen, toegang te krijgen tot andere apparaten die op het netwerk zijn aangesloten of door de operators op afstand toegang te geven tot het geschonden apparaat.

Trojaanse paarden worden meestal gebruikt om hackers toegang te geven tot het apparaat van een gebruiker, de controle over de bronnen over te nemen en kansen te creëren voor verdere aanvallen, zoals ransomware en gegevensdiefstal. In sommige gevallen worden ze door hackers ingezet om Distributed Denial-of-Service (DDoS)-aanvallen op netwerken en websites uit te voeren. Als alternatief kunnen ze worden gebruikt om aanvullende bedreigende software op pc's te installeren, zoals keyloggers, cryptominers, enz.

Hoe de Ursu Trojaanse paarden te vermijden?

Door alle geïnstalleerde programma's up-to-date te houden, wordt u beschermd tegen beveiligingsproblemen die het doelwit zijn van aanvallers. Dit geldt niet alleen voor uw besturingssysteem, maar ook voor alle toepassingen die u mogelijk heeft, zoals browsers of e-mailclients. Het routinematig back-uppen van essentiële gegevens kan een gemakkelijke manier zijn om verloren gegevens te herstellen voor het geval er iets gebeurt als gevolg van de effecten van een schadelijke tool die uw machine infiltreert.

Het is ook cruciaal om altijd voorzichtig te zijn bij het klikken op links die via ongevraagde e-mails worden verzonden - deze tactiek wordt vaak gebruikt door aanvallers die gebruikers proberen te misleiden om corrupte bestanden te downloaden. Als u verdachte e-mails met bijlagen van onbekende afzenders ontvangt, probeer dan geen interactie met hen aan te gaan totdat u de legitimiteit van hun afzenders hebt kunnen verifiëren.

Registerdetails

Ursu-trojan kan de volgende registervermelding of registervermeldingen maken:
Regexp file mask
%LOCALAPPDATA%\petgame.exe
%UserProfile%\Local Settings\Application Data\petgame.exe
%windir%\branding\[RANDOM CHARACTERS].png
HKEY_LOCAL_MACHINE\Software\[APPLICATION]\Microsoft\Windows\CurrentVersion\Uninstall..{Uninstaller}
PetGame

Analyse rapport

Algemene informatie

Family Name: Trojan.Ursu.A
Signature status: No Signature

Known Samples

MD5: 05028cb6c42afa3c0f88162fa4ed96cd
SHA1: f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256: 4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Bestandsgrootte: 740.86 KB, 740864 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Naam Waarde
Company Name
  • Microsoft Corporation
File Description
  • Win32 Cabinet Self-Extractor
  • Самоизвлечение CAB-файлов Win32
File Version
  • 11.00.17763.1 (WinBuild.160101.0800)
Internal Name
  • Wextract
Legal Copyright
  • © Microsoft Corporation. All rights reserved.
  • © Корпорация Майкрософт. Все права защищены.
Original Filename
  • WEXTRACT.EXE .MUI
Product Name
  • Internet Explorer
Product Version
  • 11.00.17763.1

File Traits

  • .NET
  • x86

Files Modified

File Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
Show More
c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Gegevens API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
User Data Access
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Encryption Used
  • BCryptOpenAlgorithmProvider
Anti Debug
  • NtQuerySystemInformation

Shell Command Execution

C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe

Trending

Meest bekeken

Bezig met laden...