Ursu Trojan
Prehľad hrozieb
Prehľad hrozieb EnigmaSoft
EnigmaSoft Threat Scorecards sú hodnotiace správy pre rôzne malvérové hrozby, ktoré zhromaždil a analyzoval náš výskumný tím. EnigmaSoft Threat Scorecards vyhodnocujú a hodnotia hrozby pomocou niekoľkých metrík vrátane skutočných a potenciálnych rizikových faktorov, trendov, frekvencie, prevalencie a pretrvávania. Prehľady hrozieb EnigmaSoft sa pravidelne aktualizujú na základe našich výskumných údajov a metrík a sú užitočné pre širokú škálu používateľov počítačov, od koncových používateľov, ktorí hľadajú riešenia na odstránenie škodlivého softvéru zo svojich systémov, až po bezpečnostných expertov analyzujúcich hrozby.
EnigmaSoft Threat Scorecards zobrazuje množstvo užitočných informácií, vrátane:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Úroveň závažnosti: Určená úroveň závažnosti objektu, vyjadrená číselne, na základe nášho procesu modelovania rizika a výskumu, ako je vysvetlené v našich kritériách hodnotenia hrozieb .
Infikované počítače: Počet potvrdených a podozrivých prípadov konkrétnej hrozby zistených na infikovaných počítačoch podľa správy SpyHunter.
Pozri tiež Kritériá hodnotenia hrozieb .
| Popularity Rank: | 14,588 |
| Stupeň ohrozenia: | 90 % (Vysoká) |
| Infikované počítače: | 105,065 |
| Prvýkrát videný: | September 15, 2015 |
| Naposledy videný: | November 8, 2025 |
| Ovplyvnené OS: | Windows |
Ursu je hrozivý trójsky kôň, ktorý prenikne do vášho počítača bez vášho vedomia alebo súhlasu, často využívaním systémových zraniteľností a bezpečnostných chýb. Dá sa stiahnuť z poškodených webových stránok alebo príloh e-mailov z nedôveryhodných zdrojov. Súbory so zbraňami môžu byť rôznych typov, ako napríklad súbory .exe, .pif, .avi a dokonca aj súbory .jpg.
Po nainštalovaní zostáva Ursu skrytý v pozadí a pravdepodobne bude vykonávať rôzne škodlivé funkcie, ktoré umožnia aktérom hrozby získať úplnú kontrolu nad systémom obete. Medzi ohrozujúce schopnosti trójskeho koňa Ursu môže patriť odstraňovanie súborov, inštalácia ďalšieho škodlivého softvéru, zhromažďovanie hesiel, zmena systémových nastavení a monitorovanie aktivity počítača. Keďže Ursu nemá schopnosť replikovať sa, používatelia počítačov musia prijať opatrenia na ochranu svojich počítačov pred ním, aby zabránili jeho inštalácii na svojich počítačoch.
Obsah
Aké škodlivé sú hrozby ako Ursu Trojan
Hrozba trójskych koní je malvér, ktorý by sa mohol vložiť do legitímneho softvéru alebo súborov alebo sa za ne zamaskovať a ktorý sa zvyčajne šíri prostredníctvom zdieľania súborov, sťahovania alebo e-mailov. Keď sa dostane do vášho počítača, môže spôsobiť poškodenie deaktiváciou systémových funkcií, odcudzením osobných údajov, prístupom k iným zariadeniam pripojeným k sieti alebo poskytnutím vzdialeného prístupu jeho operátorom k narušenému zariadeniu.
Trójske kone sa zvyčajne používajú na poskytnutie prístupu hackerom k zariadeniu používateľa, prevzatie kontroly nad jeho zdrojmi a otvorenie príležitostí pre ďalšie útoky, ako je ransomvér a krádež údajov. V niektorých prípadoch ich nasadzujú hackeri, aby vytvorili útoky DDoS (Distributed Denial-of-Service) na siete a webové stránky. Alternatívne môžu byť použité na inštaláciu dodatočného hroziaceho softvéru do PC, ako sú keyloggery, kryptomeny atď.
Ako sa vyhnúť útokom trójskych koní Ursu?
Udržiavanie všetkých nainštalovaných programov v aktuálnom stave pomáha chrániť sa pred bezpečnostnými chybami, na ktoré sa zameriavajú útočníci. To platí nielen pre váš operačný systém, ale aj pre všetky aplikácie, ktoré môžete mať, ako sú prehliadače alebo e-mailové klienty. Rutinné zálohovanie základných údajov môže poskytnúť jednoduchý spôsob obnovenia stratených údajov v prípade, že sa niečo stane v dôsledku škodlivého nástroja infiltrujúceho váš počítač.
Je tiež dôležité byť vždy opatrný pri klikaní na odkazy odoslané prostredníctvom nevyžiadaných e-mailov – túto taktiku často používajú útočníci, ktorí sa snažia oklamať používateľov, aby si stiahli poškodené súbory. Ak dostávate podozrivé e-maily s prílohami od neznámych odosielateľov, snažte sa s nimi nekomunikovať, kým sa vám nepodarí overiť legitimitu ich odosielateľov.
Podrobnosti registra
Správa o analýze
Všeobecné informácie
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Veľkosť súboru:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| názov | Hodnota |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Údaje | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
