Grenam มัลแวร์

โดย CagedTech ใน Malware, Trojans

แปลเป็น:

ภัยคุกคามจากมัลแวร์ Grenam ถูกจัดประเภทเป็นโทรจัน อย่างไรก็ตาม จากการวิเคราะห์โดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ พบว่าประกอบด้วยองค์ประกอบการคุกคามที่แตกต่างกันสามส่วน เห็นได้ชัดว่า Grenam ติดตั้งส่วนโทรจัน ส่วนประกอบเวิร์ม และเพย์โหลดมัลแวร์ ภัยคุกคามมีแนวโน้มที่จะนำไปใช้กับระบบของเหยื่อโดยภัยคุกคามมัลแวร์อื่น ๆ หรือโดยการฉีดเข้าไปในผลิตภัณฑ์ซอฟต์แวร์ลิขสิทธิ์หรือลิขสิทธิ์ที่ดาวน์โหลดโดยผู้ใช้เอง

การดำเนินการของภัยคุกคามเริ่มต้นด้วยการสร้างสำเนาของตัวเองและวางลงในโฟลเดอร์ %APPDATA%\ ของระบบที่ถูกละเมิด ไฟล์คัดลอกชื่อ paint.exe เพื่อพยายามทำให้เหยื่อเข้าใจผิด ส่วนโทรจันของภัยคุกคามจะเพิ่มไฟล์ paint.lnk ลงในโฟลเดอร์เริ่มต้น ส่งผลให้ Grenam ทำงานทุกครั้งที่ระบบปฏิบัติการ Windows เริ่มทำงาน นอกจากนี้ มันแทรกรายการรีจิสทรี - 'HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run' เป็นอีกวิธีหนึ่งในการเริ่มการคุกคามโดยอัตโนมัติ

องค์ประกอบที่สองของภัยคุกคาม Grenam ช่วยให้สามารถแพร่กระจายตัวเองไปยังระบบอื่น ๆ ผ่านไดรฟ์แบบถอดได้หรือที่ใช้ร่วมกัน มัลแวร์จะปล่อยสำเนาของตัวเองลงในไดรฟ์ โดยเป็นไฟล์ชื่อ Paint ซึ่งไม่มีนามสกุลไฟล์ ในโฟลเดอร์เดียวกัน Grenam จะสร้างไฟล์ชื่อ 'hold.inf' ซึ่งจะถูกเปลี่ยนชื่อเป็น 'autorun.inf' ในภายหลัง เป็นผลให้ภัยคุกคามที่เป็นอันตรายจะเปิดใช้งานหากเปิดไดรฟ์บนระบบพีซีที่มีฟังก์ชั่นการทำงานอัตโนมัติที่เปิดใช้งาน ส่วนประกอบที่คุกคามขั้นสุดท้ายจะสร้างสำเนาที่ซ่อนอยู่ซึ่งติดไวรัสของไฟล์ปฏิบัติการที่พบในอุปกรณ์ที่ถูกละเมิด