Ursu Trojan
Bonitetna ocena
EnigmaSoft Threat Scorecard
EnigmaSoft Threat Scorecards so poročila o oceni različnih groženj zlonamerne programske opreme, ki jih je zbrala in analizirala naša raziskovalna skupina. EnigmaSoft Threat Scorecards ocenjujejo in razvrščajo grožnje z uporabo več meritev, vključno z dejavniki tveganja iz resničnega sveta in potencialnimi dejavniki tveganja, trendi, pogostostjo, razširjenostjo in obstojnostjo. EnigmaSoft Threat Scorecards se redno posodabljajo na podlagi naših raziskovalnih podatkov in meritev ter so uporabni za širok krog uporabnikov računalnikov, od končnih uporabnikov, ki iščejo rešitve za odstranitev zlonamerne programske opreme iz svojih sistemov, do varnostnih strokovnjakov, ki analizirajo grožnje.
EnigmaSoft Threat Scorecards prikazuje vrsto uporabnih informacij, vključno z:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Stopnja resnosti: določena stopnja resnosti predmeta, predstavljena številčno na podlagi našega procesa modeliranja tveganja in raziskav, kot je razloženo v naših Merilih za oceno groženj .
Okuženi računalniki: število potrjenih in domnevnih primerov določene grožnje, odkrite na okuženih računalnikih, kot poroča SpyHunter.
Glejte tudi Merila za oceno nevarnosti .
| Popularity Rank: | 14,588 |
| Stopnja nevarnosti: | 90 % (Visoko) |
| Okuženi računalniki: | 105,065 |
| Prvič viden: | September 15, 2015 |
| Nazadnje viden: | November 8, 2025 |
| Zadeti OS: | Windows |
Ursu je nevaren trojanec, ki se infiltrira v vaš računalnik brez vaše vednosti ali privolitve, pogosto z izkoriščanjem sistemskih ranljivosti in varnostnih napak. Prenesete ga lahko s poškodovanih spletnih mest ali e-poštnih prilog iz nezaupljivih virov. Datoteke z orožjem so lahko različnih vrst, kot so datoteke .exe, .pif, .avi in celo .jpg.
Ko je nameščen, Ursu ostane skrit v ozadju in bo verjetno izvajal različne škodljive funkcije, ki akterjem groženj omogočajo popoln nadzor nad sistemom žrtve. Nevarne zmožnosti trojanca Ursu lahko vključujejo brisanje datotek, namestitev dodatne zlonamerne programske opreme, zbiranje gesel, spreminjanje sistemskih nastavitev in spremljanje dejavnosti računalnika. Ker se Ursu ne more razmnoževati, morajo uporabniki računalnikov sprejeti ukrepe za zaščito svojih strojev pred njim, da preprečijo njegovo namestitev v svoje računalnike.
Kazalo
Kako škodljive so grožnje, kot je trojanec Ursu
Trojanska grožnja je zlonamerna programska oprema, ki jo je mogoče vnesti v zakonito programsko opremo ali datoteke ali jih prikriti, ki se običajno širi prek skupne rabe datotek, prenosov ali e-pošte. Ko je v vašem računalniku, lahko povzroči škodo tako, da onemogoči sistemske funkcije, ugrabi osebne podatke, dostopa do drugih naprav, povezanih z omrežjem, ali svojim operaterjem omogoči oddaljeni dostop do naprave, ki je bila poškodovana.
Običajno se trojanci uporabljajo, da hekerjem omogočijo dostop do uporabnikove naprave, prevzamejo nadzor nad njenimi viri in odprejo možnosti za nadaljnje napade, kot sta izsiljevalska programska oprema in kraja podatkov. V nekaterih primerih jih uporabijo hekerji, da ustvarijo napade porazdeljene zavrnitve storitve (DDoS) na omrežja in spletna mesta. Namesto tega se lahko uporabijo za namestitev dodatne nevarne programske opreme na osebne računalnike, kot so zapisovalniki tipk, kripto rudarji itd.
Kako se izogniti napadom trojanca Ursu?
Posodabljanje vseh nameščenih programov pomaga pri zaščiti pred varnostnimi ranljivostmi, ki so tarča napadalcev. To ne velja le za vaš operacijski sistem, ampak tudi za vse aplikacije, ki jih morda imate, kot so brskalniki ali e-poštni odjemalci. Rutinsko varnostno kopiranje bistvenih podatkov bi lahko zagotovilo preprost način za obnovitev izgubljenih podatkov v primeru, da se kaj zgodi zaradi učinkov škodljivega orodja, ki se infiltrira v vaš računalnik.
Prav tako je ključnega pomena, da ste vedno previdni pri klikanju povezav, poslanih prek nezaželene e-pošte – to taktiko pogosto uporabljajo napadalci, ki poskušajo uporabnike zavesti, da prenesejo poškodovane datoteke. Če prejmete sumljiva e-poštna sporočila s priponkami od neznanih pošiljateljev, ne komunicirajte z njimi, dokler ne preverite legitimnosti njihovih pošiljateljev.
Podrobnosti registra
Poročilo o analizi
Splošne informacije
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Velikost datoteke:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Ime | vrednost |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Podatki | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
