Grenam Malware

Med CagedTech i Malware, Trojans

Oversæt til:

Grenam Malware-truslen er klassificeret som en trojaner. Men ifølge en analyse fra cybersikkerhedsspecialister består den af tre forskellige truende komponenter. Tilsyneladende er Grenam udstyret med en trojansk del, en ormekomponent og en malware-nyttelast. Truslen er sandsynligvis implementeret på ofrets system af andre malware-trusler eller ved at blive injiceret i crackede versioner af licenserede eller ophavsretligt beskyttede softwareprodukter, der downloades af brugerne selv.

Eksekveringen af truslen begynder med at oprette en kopi af sig selv og slippe den i mappen %APPDATA%\ i det brudte system. Kopifilen hedder paint.exe som et forsøg på at vildlede ofre. Den trojanske del af truslen tilføjer en paint.lnk-fil til startmappen, hvilket resulterer i, at Grenam køres, hver gang Windows OS startes. Derudover injicerer den en post i registreringsdatabasen - 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' som en anden måde at automatisk starte truslen på.

Den anden komponent i Grenam-truslen giver den mulighed for at sprede sig selv til andre systemer via flytbare eller delte drev. Malwaren vil slippe en kopi af sig selv på drevet, som en fil med navnet Paint med en manglende filtypenavn. I samme mappe vil Grenam oprette en fil med navnet 'hold.inf', som efterfølgende vil blive omdøbt til 'autorun.inf.' Som et resultat vil den sårende trussel blive aktiveret, hvis drevet åbnes på et pc-system med en aktiveret Autorun-funktionalitet. Den sidste truende komponent vil skabe inficerede skjulte kopier af de eksekverbare filer, der findes på den brudte enhed.