Ursu Trojan
Trusselscorekort
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards er vurderingsrapporter for forskellige malware-trusler, som er blevet indsamlet og analyseret af vores forskningsteam. EnigmaSoft Threat Scorecards evaluerer og rangerer trusler ved hjælp af adskillige metrics, herunder virkelige og potentielle risikofaktorer, tendenser, frekvens, udbredelse og persistens. EnigmaSoft Threat Scorecards opdateres regelmæssigt baseret på vores forskningsdata og metrics og er nyttige for en bred vifte af computerbrugere, fra slutbrugere, der søger løsninger til at fjerne malware fra deres systemer, til sikkerhedseksperter, der analyserer trusler.
EnigmaSoft Threat Scorecards viser en række nyttige oplysninger, herunder:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Sværhedsgrad: Et objekts fastlagte sværhedsgrad, repræsenteret numerisk, baseret på vores risikomodelleringsproces og forskning, som forklaret i vores trusselsvurderingskriterier .
Inficerede computere: Antallet af bekræftede og formodede tilfælde af en bestemt trussel opdaget på inficerede computere som rapporteret af SpyHunter.
Se også Kriterier for trusselsvurdering .
| Popularity Rank: | 14,588 |
| Trusselsniveau: | 90 % (Høj) |
| Inficerede computere: | 105,065 |
| Først set: | September 15, 2015 |
| Sidst set: | November 8, 2025 |
| Berørte operativsystemer: | Windows |
Ursu er en truende trojaner, der infiltrerer din computer uden din viden eller samtykke, ofte ved at udnytte systemets sårbarheder og sikkerhedsfejl. Det kan downloades fra beskadigede websteder eller vedhæftede e-mails fra upålidelige kilder. De bevæbnede filer kan være fra forskellige typer, såsom .exe-, .pif-, .avi- og endda .jpg-filer.
Når først den er installeret, forbliver Ursu skjult i baggrunden og vil sandsynligvis udføre forskellige skadelige funktioner, der tillader trusselsaktører at få fuldstændig kontrol over ofrets system. Ursu-trojanerens truende egenskaber kan omfatte sletning af filer, installation af yderligere malware, indsamling af adgangskoder, ændring af systemindstillinger og overvågning af computeraktiviteten. Da Ursu ikke har evnen til at replikere sig selv, skal computerbrugere træffe foranstaltninger for at beskytte deres maskiner mod det for at forhindre installationen på deres computere.
Indholdsfortegnelse
Hvor skadelige er trusler som Ursu-trojaneren
En trojansk trussel er malware, der kan injiceres i eller forklædt som legitim software eller filer, som normalt spredes via fildeling, downloads eller e-mails. Når den først er inde i din computer, kan den forårsage skade ved at deaktivere systemfunktioner, kapre personlige oplysninger, få adgang til andre enheder, der er tilsluttet netværket, eller give dens operatører fjernadgang til den ødelagte enhed.
Typisk bruges trojanske heste til at give hackere adgang til en brugers enhed, tage kontrol over dens ressourcer og åbne muligheder for yderligere angreb, såsom ransomware og datatyveri. I nogle tilfælde bliver de indsat af hackere til at skabe DDoS-angreb (Distributed Denial-of-Service) på netværk og websteder. Alternativt kan de bruges til at installere yderligere truende software på pc'er, såsom keyloggers, crypto-miners osv.
Hvordan undgår man Ursu-trojanske angreb?
Ved at holde alle installerede programmer opdaterede hjælper det med at beskytte mod sikkerhedssårbarheder målrettet af angribere. Dette gælder ikke kun for dit operativsystem, men også for alle applikationer, du måtte have, såsom browsere eller e-mail-klienter. Rutinemæssig sikkerhedskopiering af væsentlige data kan give en nem måde at gendanne tabte data, hvis der sker noget på grund af virkningerne af et skadeligt værktøj, der infiltrerer din maskine.
Det er også afgørende altid at være forsigtig, når du klikker på links sendt gennem uopfordrede e-mails - denne taktik bruges ofte af angribere, der forsøger at narre brugere til at downloade beskadigede filer. Hvis du modtager mistænkelige e-mails, der indeholder vedhæftede filer fra ukendte afsendere, så prøv ikke at interagere med dem, før du har formået at bekræfte deres afsenderes legitimitet.
Registreringsoplysninger
Analyserapport
Generel information
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Filstørrelse:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Navn | Værdi |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Data | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
