Grenam Malware

До CagedTech през Malware, Trojansг

Превод на:

Заплахата от зловреден софтуер Grenam е класифицирана като троянски кон. Въпреки това, според анализ на специалисти по киберсигурност, той се състои от три различни заплашителни компонента. Очевидно Grenam е снабден с троянска част, компонент червей и злонамерен софтуер. Заплахата вероятно е внедрена в системата на жертвата от други заплахи за зловреден софтуер или чрез инжектиране в кракнати версии на лицензирани или защитени с авторски права софтуерни продукти, изтеглени от самите потребители.

Изпълнението на заплахата започва със създаване на нейно копие и пускането му в папката %APPDATA%\ на нарушената система. Копираният файл е наречен paint.exe като опит за подвеждане на жертвите. Троянската част от заплахата ще добави paint.lnk файл в папката за стартиране, което ще доведе до стартиране на Grenam при всяко стартиране на операционната система Windows. В допълнение, той инжектира запис в регистъра - "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run", като друг начин за автоматично стартиране на заплахата.

Вторият компонент на заплахата Grenam й позволява да се разпространява в други системи чрез преносими или споделени дискове. Зловреден софтуер ще пусне копие на себе си на устройството, като файл с име Paint с липсващо файлово разширение. В същата папка Grenam ще създаде файл с име „hold.inf“, който впоследствие ще бъде преименуван на „autorun.inf“. В резултат на това вредната заплаха ще се активира, ако устройството бъде отворено на компютърна система с активирана функция за автоматично стартиране. Последният заплашителен компонент ще създаде заразени скрити копия на изпълнимите файлове, намерени на нарушеното устройство.