اورسو تروجان
کارت امتیازی تهدید
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards گزارشهای ارزیابی برای تهدیدات مختلف بدافزار هستند که توسط تیم تحقیقاتی ما جمعآوری و تجزیه و تحلیل شدهاند. EnigmaSoft Threat Scorecards با استفاده از چندین معیار از جمله عوامل خطر واقعی و بالقوه، روندها، فراوانی، شیوع و تداوم، تهدیدها را ارزیابی و رتبه بندی می کند. کارتهای امتیازی تهدید EnigmaSoft به طور منظم بر اساس دادههای تحقیقاتی و معیارهای ما بهروزرسانی میشوند و برای طیف گستردهای از کاربران رایانه، از کاربران نهایی که به دنبال راهحلهایی برای حذف بدافزار از سیستمهای خود هستند تا کارشناسان امنیتی که تهدیدها را تجزیه و تحلیل میکنند، مفید هستند.
کارت امتیازی EnigmaSoft Threat اطلاعات مفید مختلفی را نمایش می دهد، از جمله:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
سطح شدت: سطح شدت تعیین شده یک شی که به صورت عددی نشان داده می شود، بر اساس فرآیند مدل سازی ریسک و تحقیقات ما، همانطور که در معیارهای ارزیابی تهدید توضیح داده شده است.
رایانه های آلوده: تعداد موارد تأیید شده و مشکوک یک تهدید خاص که بر روی رایانه های آلوده شناسایی شده است که توسط SpyHunter گزارش شده است.
همچنین به معیارهای ارزیابی تهدید مراجعه کنید.
| Popularity Rank: | 14,588 |
| میزان خطر: | 90 % (بالا) |
| کامپیوترهای آلوده: | 105,065 |
| اولین بار دیده شد: | September 15, 2015 |
| آخرین حضور: | November 8, 2025 |
| سیستم عامل (های) تحت تأثیر: | Windows |
Ursu یک تروجان تهدید کننده است که بدون اطلاع یا رضایت شما، اغلب با سوء استفاده از آسیب پذیری های سیستم و نقص های امنیتی، به رایانه شما نفوذ می کند. می توان آن را از وب سایت های خراب یا پیوست های ایمیل از منابع نامعتبر دانلود کرد. فایل های تسلیح شده می توانند از انواع مختلفی مانند فایل های .exe، .pif، avi. و حتی فایل های jpg. باشند.
پس از نصب، Ursu در پسزمینه پنهان میماند و احتمالاً عملکردهای مضر مختلفی را انجام میدهد که به عوامل تهدید اجازه میدهد کنترل کاملی بر سیستم قربانی به دست آورند. قابلیت های تهدید آمیز تروجان Ursu ممکن است شامل حذف فایل ها، نصب بدافزار اضافی، جمع آوری رمزهای عبور، تغییر تنظیمات سیستم و نظارت بر فعالیت رایانه باشد. از آنجایی که Ursu توانایی تکثیر خود را ندارد، کاربران رایانه باید اقداماتی را برای محافظت از دستگاه های خود در برابر آن انجام دهند تا از نصب آن بر روی رایانه خود جلوگیری کنند.
فهرست مطالب
تهدیدهایی مانند تروجان اورسو چقدر مضر هستند
تهدید تروجان بدافزاری است که میتواند به نرمافزار یا فایلهای قانونی تزریق یا پنهان شود، که معمولاً از طریق اشتراکگذاری فایل، دانلود یا ایمیل منتشر میشود. هنگامی که وارد رایانه شما می شود، می تواند با غیرفعال کردن عملکردهای سیستم، ربودن اطلاعات شخصی، دسترسی به سایر دستگاه های متصل به شبکه یا ارائه دسترسی از راه دور به اپراتورهای آن به دستگاه نقض شده، باعث آسیب شود.
به طور معمول، تروجانها برای دسترسی هکرها به دستگاه کاربر، کنترل منابع آن و باز کردن فرصتهایی برای حملات بیشتر، مانند باجافزار و سرقت داده، استفاده میشوند. در برخی موارد، آنها توسط هکرها برای ایجاد حملات انکار سرویس توزیع شده (DDoS) در شبکه ها و وب سایت ها مستقر می شوند. همچنین، ممکن است از آنها برای نصب نرم افزارهای تهدیدکننده اضافی بر روی رایانه های شخصی، مانند کی لاگرها، کریپتو ماینرها و غیره استفاده شود.
چگونه از حملات تروجان Ursu اجتناب کنیم؟
به روز نگه داشتن تمام برنامه های نصب شده به محافظت در برابر آسیب پذیری های امنیتی مورد هدف مهاجمان کمک می کند. این نه تنها برای سیستم عامل شما، بلکه برای هر برنامهای که ممکن است داشته باشید، مانند مرورگرها یا کلاینتهای ایمیل نیز صدق میکند. پشتیبانگیری روتین از دادههای ضروری میتواند راهی آسان برای بازیابی اطلاعات از دست رفته در صورت بروز اتفاقی به دلیل تأثیرات نفوذ ابزار مضر به دستگاه شما باشد.
همچنین بسیار مهم است که همیشه هنگام کلیک کردن روی پیوندهای ارسال شده از طریق ایمیل های ناخواسته مراقب باشید - این تاکتیک اغلب توسط مهاجمانی که سعی می کنند کاربران را فریب دهند تا فایل های خراب را دانلود کنند، استفاده می شود. اگر ایمیلهای مشکوکی حاوی پیوستهایی از فرستندههای ناشناس دریافت میکنید، سعی کنید تا زمانی که موفق به تأیید صحت فرستندههای آنها نشدهاید، با آنها تعامل نکنید.
جزئیات رجیستری
گزارش تجزیه و تحلیل
اطلاعات کلی
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
حجم فایل:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| نام | ارزش |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | داده ها | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
