Ursu Trojan
Karta prijetnji
EnigmaSoft Kartica Prijetnji
EnigmaSoft Threat Scorecards su izvješća o procjeni različitih prijetnji od zlonamjernog softvera koje je prikupio i analizirao naš istraživački tim. EnigmaSoft Threat Scorecards procjenjuju i rangiraju prijetnje koristeći nekoliko metrika uključujući stvarne i potencijalne čimbenike rizika, trendove, učestalost, prevalenciju i postojanost. EnigmaSoft Threat Scorecards redovito se ažuriraju na temelju naših istraživačkih podataka i metrike i korisni su za širok raspon korisnika računala, od krajnjih korisnika koji traže rješenja za uklanjanje zlonamjernog softvera iz svojih sustava do sigurnosnih stručnjaka koji analiziraju prijetnje.
EnigmaSoft Threat Scorecards prikazuje niz korisnih informacija, uključujući:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Razina ozbiljnosti: utvrđena razina ozbiljnosti objekta, predstavljena brojčano, na temelju našeg procesa modeliranja rizika i istraživanja, kao što je objašnjeno u našim Kriterijima za procjenu prijetnji .
Zaražena računala: Broj potvrđenih i sumnjivih slučajeva određene prijetnje otkrivene na zaraženim računalima prema izvještaju SpyHuntera.
Vidi također Kriteriji procjene prijetnji .
| Popularity Rank: | 14,588 |
| Razina prijetnje: | 90 % (Visoko) |
| Zaražena računala: | 105,065 |
| Prvi put viđeno: | September 15, 2015 |
| Zadnje viđeno: | November 8, 2025 |
| Pogođeni OS: | Windows |
Ursu je prijeteći trojanac koji se infiltrira u vaše računalo bez vašeg znanja ili pristanka, često iskorištavajući ranjivosti sustava i sigurnosne propuste. Može se preuzeti s oštećenih web stranica ili privitaka e-pošte iz nepouzdanih izvora. Oružane datoteke mogu biti različitih vrsta, kao što su .exe, .pif, .avi pa čak i .jpg datoteke.
Jednom instaliran, Ursu ostaje skriven u pozadini i vjerojatno će obavljati razne štetne funkcije koje akterima prijetnji omogućuju da steknu potpunu kontrolu nad žrtvinim sustavom. Prijeteće mogućnosti trojanca Ursu mogu uključivati brisanje datoteka, instaliranje dodatnog zlonamjernog softvera, prikupljanje lozinki, promjenu postavki sustava i praćenje aktivnosti računala. Kako Ursu nema mogućnost repliciranja samog sebe, korisnici računala trebaju poduzeti mjere da zaštite svoje strojeve od njega kako bi spriječili njegovu instalaciju na svoja računala.
Sadržaj
Koliko su štetne prijetnje poput trojanca Ursu
Trojanska prijetnja je zlonamjerni softver koji se može ubaciti ili maskirati u legitiman softver ili datoteke, a koji se obično širi putem dijeljenja datoteka, preuzimanja ili e-pošte. Jednom kada uđe u vaše računalo, može prouzročiti štetu onemogućavanjem funkcija sustava, otimanjem osobnih podataka, pristupom drugim uređajima povezanim na mrežu ili pružanjem svojim operaterima daljinskog pristupa oštećenom uređaju.
Trojanci se obično koriste kako bi hakerima dali pristup korisnikovom uređaju, preuzimajući kontrolu nad njegovim resursima i otvarajući mogućnosti za daljnje napade, kao što su ransomware i krađa podataka. U nekim ih slučajevima koriste hakeri kako bi stvorili distribuirane napade uskraćivanja usluge (DDoS) na mreže i web stranice. Alternativno, mogu se koristiti za instaliranje dodatnog prijetećeg softvera na računala, kao što su keyloggeri, kripto rudari itd.
Kako izbjeći napade trojanca Ursu?
Održavanje svih instaliranih programa ažurnim pomaže u zaštiti od sigurnosnih propusta na meti napadača. Ovo se ne odnosi samo na vaš operativni sustav već i na sve aplikacije koje možda imate, kao što su preglednici ili klijenti e-pošte. Rutinsko sigurnosno kopiranje bitnih podataka moglo bi pružiti jednostavan način vraćanja izgubljenih podataka u slučaju da se nešto dogodi zbog učinaka štetnog alata koji se infiltrirao u vaš stroj.
Također je ključno uvijek biti oprezan kada klikate veze poslane putem neželjene e-pošte – ovu taktiku često koriste napadači koji pokušavaju prevariti korisnike da preuzmu oštećene datoteke. Ako primite sumnjivu e-poštu koja sadrži privitke od nepoznatih pošiljatelja, pokušajte ne komunicirati s njima dok ne uspijete provjeriti legitimnost njihovih pošiljatelja.
Pojedinosti registra
Izvješće o analizi
Opće informacije
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Veličina datoteke:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Ime | Vrijednost |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Podaci | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
