Κακόβουλο λογισμικό Grenam

Μέχρι το CagedTech το Malware, Trojans

Μετάφραση σε:

Η απειλή Malware της Grenam ταξινομείται ως Trojan. Ωστόσο, σύμφωνα με ανάλυση ειδικών στον τομέα της κυβερνοασφάλειας, αποτελείται από τρία διαφορετικά απειλητικά στοιχεία. Προφανώς, η Grenam είναι εξοπλισμένη με ένα εξάρτημα Trojan, ένα στοιχείο τύπου worm και ένα ωφέλιμο φορτίο κακόβουλου λογισμικού. Η απειλή πιθανότατα αναπτύσσεται στο σύστημα του θύματος από άλλες απειλές κακόβουλου λογισμικού ή με έγχυση σε κατεστραμμένες εκδόσεις προϊόντων λογισμικού με άδεια χρήσης ή με δικαιώματα πνευματικής ιδιοκτησίας που έχουν ληφθεί από τους ίδιους τους χρήστες.

Η εκτέλεση της απειλής ξεκινά με τη δημιουργία ενός αντιγράφου του εαυτού της και την απόθεση του στον φάκελο %APPDATA%\ του συστήματος που έχει παραβιαστεί. Το αρχείο αντιγραφής ονομάζεται paint.exe ως προσπάθεια παραπλάνησης των θυμάτων. Το τμήμα Trojan της απειλής θα προσθέσει ένα αρχείο paint.lnk στον φάκελο εκκίνησης, με αποτέλεσμα το Grenam να εκτελείται κάθε φορά που ξεκινά το λειτουργικό σύστημα Windows. Επιπλέον, εισάγει μια καταχώρηση μητρώου - 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' ως άλλος τρόπος για αυτόματη εκκίνηση της απειλής.

Το δεύτερο στοιχείο της απειλής Grenam του επιτρέπει να εξαπλωθεί σε άλλα συστήματα μέσω αφαιρούμενων ή κοινών μονάδων δίσκου. Το κακόβουλο λογισμικό θα αποβάλει ένα αντίγραφο του εαυτού του στη μονάδα δίσκου, ως αρχείο με το όνομα Paint με μια επέκταση αρχείου που λείπει. Στον ίδιο φάκελο, η Grenam θα δημιουργήσει ένα αρχείο με το όνομα "hold.inf" που στη συνέχεια θα μετονομαστεί σε "autorun.inf". Ως αποτέλεσμα, η επιβλαβής απειλή θα ενεργοποιηθεί εάν ανοίξει η μονάδα δίσκου σε σύστημα υπολογιστή με ενεργοποιημένη λειτουργία Autorun. Το τελευταίο απειλητικό στοιχείο θα δημιουργήσει μολυσμένα κρυφά αντίγραφα των εκτελέσιμων αρχείων που βρίσκονται στη συσκευή που έχει παραβιαστεί.