Grenam Malware

Med CagedTech i Malware, Trojans

Oversett til:

Grenam Malware-trusselen er klassifisert som en trojaner. Imidlertid, ifølge en analyse fra cybersikkerhetsspesialister, består den av tre forskjellige truende komponenter. Tilsynelatende er Grenam utstyrt med en trojansk del, en ormekomponent og en skadelig nyttelast. Trusselen er sannsynligvis utplassert på offerets system av andre skadelig programvare-trusler eller ved å bli injisert i knekkede versjoner av lisensierte eller opphavsrettsbeskyttede programvareprodukter lastet ned av brukerne selv.

Utførelsen av trusselen begynner med å lage en kopi av seg selv og slippe den inn i %APPDATA%\-mappen til systemet som brytes. Kopifilen heter paint.exe som et forsøk på å villede ofre. Den trojanske delen av trusselen vil legge til en paint.lnk-fil i oppstartsmappen, noe som resulterer i at Grenam kjøres hver gang Windows OS startes. I tillegg injiserer den en registeroppføring - 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,' som en annen måte å automatisk starte trusselen på.

Den andre komponenten av Grenam-trusselen lar den spre seg til andre systemer via flyttbare eller delte stasjoner. Skadevaren vil slippe en kopi av seg selv på stasjonen, som en fil som heter Paint med en manglende filtype. I den samme mappen vil Grenam opprette en fil med navnet 'hold.inf' som deretter vil bli omdøpt til 'autorun.inf.' Som et resultat vil den skadelige trusselen aktiveres hvis stasjonen åpnes på et PC-system med en aktivert Autorun-funksjonalitet. Den siste truende komponenten vil lage infiserte skjulte kopier av de kjørbare filene som finnes på den brutte enheten.