Grenam-malware

Tegen CagedTech in Malware, Trojans

Vertalen naar:

De Grenam Malware-dreiging is geclassificeerd als een Trojaans paard. Volgens een analyse van cyberbeveiligingsspecialisten bestaat het echter uit drie verschillende bedreigende componenten. Blijkbaar is Grenam uitgerust met een Trojaans onderdeel, een wormcomponent en een malware-payload. De dreiging wordt waarschijnlijk op het systeem van het slachtoffer ingezet door andere malwarebedreigingen of door te worden geïnjecteerd in gekraakte versies van gelicentieerde of auteursrechtelijk beschermde softwareproducten die door de gebruikers zelf zijn gedownload.

De uitvoering van de dreiging begint door een kopie van zichzelf te maken en deze in de map %APPDATA%\ van het gehackte systeem te plaatsen. Het kopieerbestand heet paint.exe als een poging om slachtoffers te misleiden. Het Trojaanse deel van de dreiging voegt een paint.lnk-bestand toe aan de opstartmap, waardoor Grenam wordt uitgevoerd telkens wanneer het Windows-besturingssysteem wordt gestart. Bovendien injecteert het een registervermelding - 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' als een andere manier om de dreiging automatisch te starten.

Het tweede onderdeel van de Grenam-dreiging stelt het in staat zichzelf te verspreiden naar andere systemen via verwijderbare of gedeelde schijven. De malware laat een kopie van zichzelf op de schijf vallen als een bestand met de naam Paint met een ontbrekende bestandsextensie. In dezelfde map maakt Grenam een bestand met de naam 'hold.inf' dat vervolgens wordt hernoemd naar 'autorun.inf'. Als gevolg hiervan wordt de schadelijke dreiging geactiveerd als de schijf wordt geopend op een pc-systeem met een geactiveerde Autorun-functionaliteit. De laatste bedreigende component zal geïnfecteerde verborgen kopieën maken van de uitvoerbare bestanden die op het gehackte apparaat zijn gevonden.