Grenam Malware

CagedTech -ra Malware, Trojans-ben

Fordítás ide:

A Grenam Malware fenyegetés trójainak minősül. A kiberbiztonsági szakértők elemzése szerint azonban három különböző fenyegető összetevőből áll. Úgy tűnik, a Grenam fel van szerelve egy trójai résszel, egy féregkomponenssel és egy rosszindulatú szoftverrel. A fenyegetést valószínűleg más rosszindulatú programok telepítik az áldozat rendszerére, vagy a felhasználók maguk által letöltött, licencelt vagy szerzői joggal védett szoftvertermékek feltört verzióiba fecskendezik be.

A fenyegetés végrehajtása úgy kezdődik, hogy létrehoz egy másolatot önmagáról, és bedobja a megsértett rendszer %APPDATA%\ mappájába. A másolatfájl neve paint.exe az áldozatok félrevezetésére tett kísérlet. A fenyegetés trójai része egy paint.lnk fájlt ad az indítási mappába, aminek eredményeként a Grenam a Windows operációs rendszer minden indításakor futni fog. Ezenkívül a rendszerleíró adatbázis bejegyzést is beszúrja – „HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” a fenyegetés automatikus elindításának másik módjaként.

A Grenam fenyegetés második összetevője lehetővé teszi, hogy cserélhető vagy megosztott meghajtókon keresztül más rendszerekre is elterjedjen. A rosszindulatú program a meghajtóra dobja saját másolatát, Paint nevű fájlként hiányzó fájlkiterjesztéssel. Ugyanebben a mappában a Grenam létrehoz egy „hold.inf” nevű fájlt, amelyet később átnevez „autorun.inf”-re. Ennek eredményeként a sértő fenyegetés aktiválódik, ha a meghajtót aktivált Autorun funkcióval rendelkező PC-rendszeren nyitják meg. Az utolsó fenyegető összetevő fertőzött rejtett másolatokat hoz létre a feltört eszközön talált végrehajtható fájlokról.