بدافزار Grenam

تا CagedTech در Malware, Trojans

ترجمه به:

تهدید بدافزار Grenam به عنوان یک تروجان طبقه بندی می شود. با این حال، بر اساس تجزیه و تحلیل متخصصان امنیت سایبری، از سه مولفه مختلف تهدید کننده تشکیل شده است. ظاهرا گرنام به یک بخش تروجان، یک جزء کرم و یک بار بدافزار مجهز شده است. این تهدید احتمالاً توسط سایر تهدیدات بدافزار یا با تزریق به نسخه های کرک شده محصولات نرم افزاری دارای مجوز یا دارای حق چاپ که توسط خود کاربران دانلود شده اند، بر روی سیستم قربانی مستقر شده است.

اجرای تهدید با ایجاد یک کپی از خود و انداختن آن در پوشه %APPDATA%\ سیستم نقض شده آغاز می شود. نام فایل کپی paint.exe به عنوان تلاشی برای گمراه کردن قربانیان است. بخش تروجان تهدید یک فایل paint.lnk را به پوشه راه اندازی اضافه می کند و در نتیجه هر بار که سیستم عامل ویندوز راه اندازی می شود Grenam اجرا می شود. علاوه بر این، یک ورودی رجیستری - 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' را به عنوان راه دیگری برای شروع خودکار تهدید وارد می کند.

مؤلفه دوم تهدید Grenam به آن اجازه می دهد تا خود را از طریق درایوهای قابل جابجایی یا مشترک به سایر سیستم ها گسترش دهد. بدافزار یک کپی از خود را به عنوان فایلی به نام Paint با پسوند فایل گم شده روی درایو می‌اندازد. در همان پوشه، Grenam فایلی با نام 'hold.inf' ایجاد می کند که متعاقباً به 'autorun.inf' تغییر نام می دهد. در نتیجه، اگر درایو روی یک سیستم رایانه شخصی با قابلیت Autorun فعال شده باز شود، تهدید مضر فعال خواهد شد. آخرین مؤلفه تهدیدکننده، کپی‌های مخفی آلوده فایل‌های اجرایی موجود در دستگاه نقض‌شده را ایجاد می‌کند.