Ursu Trojan
Scorecard of Threat
Scorecard ohrožení EnigmaSoft
EnigmaSoft Threat Scorecards jsou zprávy o hodnocení různých malwarových hrozeb, které shromáždil a analyzoval náš výzkumný tým. EnigmaSoft Threat Scorecards hodnotí a hodnotí hrozby pomocí několika metrik včetně reálných a potenciálních rizikových faktorů, trendů, frekvence, prevalence a perzistence. EnigmaSoft Threat Scorecards jsou pravidelně aktualizovány na základě našich výzkumných dat a metrik a jsou užitečné pro širokou škálu počítačových uživatelů, od koncových uživatelů hledajících řešení k odstranění malwaru ze svých systémů až po bezpečnostní experty analyzující hrozby.
EnigmaSoft Threat Scorecards zobrazuje řadu užitečných informací, včetně:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjádřená číselně, na základě našeho procesu modelování rizik a výzkumu, jak je vysvětleno v našich kritériích hodnocení hrozeb .
Infikované počítače: Počet potvrzených a podezřelých případů konkrétní hrozby zjištěných na infikovaných počítačích podle zprávy SpyHunter.
Viz také Kritéria hodnocení hrozeb .
| Popularity Rank: | 14,588 |
| Úroveň ohrožení: | 90 % (Vysoký) |
| Infikované počítače: | 105,065 |
| Poprvé viděn: | September 15, 2015 |
| Naposledy viděn: | November 8, 2025 |
| Ovlivněné OS: | Windows |
Ursu je hrozivý trojský kůň, který infiltruje váš počítač bez vašeho vědomí nebo souhlasu, často tak, že využívá zranitelnosti systému a bezpečnostní chyby. Lze jej stáhnout z poškozených webových stránek nebo příloh e-mailů z nedůvěryhodných zdrojů. Zbraňové soubory mohou být různých typů, jako jsou soubory .exe, .pif, .avi a dokonce i soubory .jpg.
Po instalaci zůstane Ursu skrytý v pozadí a pravděpodobně bude provádět různé škodlivé funkce, které umožní aktérům hrozby získat úplnou kontrolu nad systémem oběti. Ohrožující schopnosti trojského koně Ursu mohou zahrnovat mazání souborů, instalaci dalšího malwaru, shromažďování hesel, změnu nastavení systému a sledování aktivity počítače. Protože Ursu nemá schopnost se replikovat, uživatelé počítačů musí přijmout opatření k ochraně svých počítačů proti němu, aby zabránili jeho instalaci na jejich počítače.
Obsah
Jak škodlivé jsou hrozby jako Ursu Trojan
Trojská hrozba je malware, který by mohl být injikován nebo maskován jako legitimní software nebo soubory, který se obvykle šíří prostřednictvím sdílení souborů, stahování nebo e-mailů. Jakmile se dostane do vašeho počítače, může způsobit poškození deaktivací systémových funkcí, únosem osobních informací, přístupem k jiným zařízením připojeným k síti nebo poskytnutím vzdáleného přístupu jeho operátorům k narušenému zařízení.
Trojské koně se obvykle používají k tomu, aby umožnili hackerům přístup k zařízení uživatele, převzali kontrolu nad jeho zdroji a otevřeli příležitosti pro další útoky, jako je ransomware a krádeže dat. V některých případech je nasazují hackeři, aby vytvořili útoky DDoS (Distributed Denial-of-Service) na sítě a webové stránky. Alternativně mohou být použity k instalaci dalšího ohrožujícího softwaru do PC, jako jsou keyloggery, krypto-těžaři atd.
Jak se vyhnout útokům trojského koně Ursu?
Udržování všech nainstalovaných programů v aktuálním stavu pomáhá chránit před bezpečnostními chybami, na které se zaměřují útočníci. To platí nejen pro váš operační systém, ale také pro všechny aplikace, které můžete mít, jako jsou prohlížeče nebo e-mailové klienty. Rutinní zálohování důležitých dat by mohlo poskytnout snadný způsob, jak obnovit ztracená data v případě, že se něco stane kvůli účinkům škodlivého nástroje pronikajícího do vašeho počítače.
Je také důležité být vždy opatrný při klikání na odkazy zaslané prostřednictvím nevyžádaných e-mailů – tuto taktiku často používají útočníci, kteří se snaží přimět uživatele ke stažení poškozených souborů. Pokud obdržíte podezřelé e-maily obsahující přílohy od neznámých odesílatelů, snažte se s nimi nekomunikovat, dokud se vám nepodaří ověřit legitimitu jejich odesílatelů.
Podrobnosti registru
Zpráva o analýze
Obecná informace
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Velikost souboru:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Název | Hodnota |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Data | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
