Grenam haittaohjelma

Vuonna CagedTech vuonna Malware, Trojans

Käännä:

Grenam-haittaohjelmauhka on luokiteltu troijalaiseksi. Kyberturvallisuusasiantuntijoiden analyysin mukaan se kuitenkin koostuu kolmesta erilaisesta uhkaavasta osasta. Ilmeisesti Grenam on varustettu troijalaisosalla, matokomponentilla ja haittaohjelmien hyötykuormalla. Uhka on todennäköisesti levitetty uhrin järjestelmään muiden haittaohjelmauhkien tai käyttäjien itsensä lataamien lisensoitujen tai tekijänoikeudella suojattujen ohjelmistotuotteiden krakattuihin versioihin.

Uhan toteuttaminen alkaa luomalla itsestään kopio ja pudottamalla se rikotun järjestelmän kansioon %APPDATA%\. Kopiotiedoston nimi on paint.exe, sillä se yrittää johtaa uhreja harhaan. Uhan troijalainen osa lisää paint.lnk-tiedoston käynnistyskansioon, jolloin Grenam suoritetaan joka kerta, kun Windows-käyttöjärjestelmä käynnistetään. Lisäksi se lisää rekisterimerkinnän - "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" toisena tapana käynnistää uhka automaattisesti.

Grenam-uhan toinen komponentti mahdollistaa sen leviämisen muihin järjestelmiin siirrettävien tai jaettujen asemien kautta. Haittaohjelma pudottaa itsestään kopion asemaan Paint-nimisenä tiedostona, jonka tiedostotunniste puuttuu. Grenam luo samaan kansioon tiedoston nimeltä "hold.inf", joka nimetään myöhemmin uudelleen nimellä "autorun.inf". Tämän seurauksena vahingollinen uhka aktivoituu, jos asema avataan PC-järjestelmässä, jossa on aktivoitu automaattinen käynnistystoiminto. Viimeinen uhkaava komponentti luo tartunnan saaneita piilokopioita rikotun laitteen suoritettavista tiedostoista.