Ursu Troian
Tabloul de scor amenințări
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards sunt rapoarte de evaluare pentru diferite amenințări malware care au fost colectate și analizate de echipa noastră de cercetare. EnigmaSoft Threat Scorecards evaluează și clasifică amenințările folosind mai multe valori, inclusiv factori de risc din lumea reală și potențiali, tendințe, frecvență, prevalență și persistență. EnigmaSoft Threat Scorecards sunt actualizate în mod regulat pe baza datelor și valorilor noastre de cercetare și sunt utile pentru o gamă largă de utilizatori de computere, de la utilizatorii finali care caută soluții pentru a elimina programele malware din sistemele lor până la experții în securitate care analizează amenințările.
EnigmaSoft Threat Scorecards afișează o varietate de informații utile, inclusiv:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Nivel de severitate: nivelul de severitate determinat al unui obiect, reprezentat numeric, pe baza procesului și cercetării noastre de modelare a riscului, așa cum este explicat în Criteriile noastre de evaluare a amenințărilor .
Calculatoare infectate: numărul de cazuri confirmate și suspectate ale unei anumite amenințări detectate pe computerele infectate, așa cum este raportat de SpyHunter.
Consultați și Criteriile de evaluare a amenințărilor .
| Popularity Rank: | 14,588 |
| Nivel de amenintare: | 90 % (Înalt) |
| Calculatoare infectate: | 105,065 |
| Prima vedere: | September 15, 2015 |
| Vazut ultima data: | November 8, 2025 |
| OS afectat(e): | Windows |
Ursu este un troian amenințător care îți infiltrează computerul fără știrea sau consimțământul tău, adesea prin exploatarea vulnerabilităților sistemului și a defectelor de securitate. Poate fi descărcat de pe site-uri web corupte sau de atașamente de e-mail din surse nesigure. Fișierele armate pot fi de diferite tipuri, cum ar fi fișiere .exe, .pif, .avi și chiar .jpg.
Odată instalat, Ursu rămâne ascuns în fundal și va îndeplini probabil diverse funcții dăunătoare care permit actorilor amenințărilor să obțină controlul complet asupra sistemului victimei. Capacitățile amenințătoare ale troianului Ursu pot include ștergerea fișierelor, instalarea de programe malware suplimentare, colectarea parolelor, modificarea setărilor sistemului și monitorizarea activității computerului. Deoarece Ursu nu are capacitatea de a se replica, utilizatorii de computere trebuie să ia măsuri pentru a-și proteja mașinile împotriva acestuia pentru a preveni instalarea acestuia pe computerele lor.
Cuprins
Cât de dăunătoare sunt amenințările ca troianul Ursu
O amenințare troiană este un malware care ar putea fi injectat sau deghizat ca software sau fișiere legitime, care este de obicei răspândit prin partajarea fișierelor, descărcări sau e-mailuri. Odată ajuns în computer, poate provoca daune prin dezactivarea funcțiilor sistemului, deturnarea informațiilor personale, accesarea altor dispozitive conectate la rețea sau oferirea operatorilor săi acces de la distanță la dispozitivul încălcat.
De obicei, troienii sunt folosiți pentru a oferi hackerilor acces la dispozitivul unui utilizator, preluând controlul asupra resurselor acestuia și deschizând oportunități pentru alte atacuri, cum ar fi ransomware și furtul de date. În unele cazuri, acestea sunt implementate de hackeri pentru a crea atacuri Distributed Denial-of-Service (DDoS) pe rețele și site-uri web. Alternativ, acestea pot fi folosite pentru a instala software adițional de amenințare pe computere, cum ar fi keylogger, cripto-mineri etc.
Cum să eviți atacurile troienilor Ursu?
Menținerea la zi a tuturor programelor instalate ajută la protejarea împotriva vulnerabilităților de securitate vizate de atacatori. Acest lucru se aplică nu numai sistemului dvs. de operare, ci și oricăror aplicații pe care le aveți, cum ar fi browsere sau clienți de e-mail. Copierea de rezervă periodică a datelor esențiale ar putea oferi o modalitate ușoară de a restabili datele pierdute în cazul în care se întâmplă ceva din cauza efectelor unui instrument dăunător care se infiltrează în mașina dvs.
De asemenea, este esențial să fiți întotdeauna atenți când faceți clic pe linkurile trimise prin e-mailuri nesolicitate - această tactică este adesea folosită de atacatori care încearcă să păcălească utilizatorii să descarce fișiere corupte. Dacă primiți e-mailuri suspecte care conțin atașamente de la expeditori necunoscuți, încercați să nu interacționați cu aceștia până când nu veți reuși să verificați legitimitatea expeditorilor lor.
Detalii de registru
Raport de analiză
Informatii generale
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Mărime fișier:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Nume | Valoare |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Date | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
