Ursu Trojan
Banta ng Scorecard
EnigmaSoft Threat Scorecard
Ang EnigmaSoft Threat Scorecards ay mga ulat sa pagtatasa para sa iba't ibang banta ng malware na nakolekta at nasuri ng aming research team. Ang EnigmaSoft Threat Scorecards ay sinusuri at niraranggo ang mga banta gamit ang ilang sukatan kabilang ang totoong mundo at potensyal na mga kadahilanan ng panganib, mga uso, dalas, pagkalat, at pagtitiyaga. Regular na ina-update ang EnigmaSoft Threat Scorecards batay sa aming data at sukatan ng pananaliksik at kapaki-pakinabang para sa malawak na hanay ng mga user ng computer, mula sa mga end user na naghahanap ng mga solusyon upang alisin ang malware sa kanilang mga system hanggang sa mga eksperto sa seguridad na nagsusuri ng mga banta.
Ang EnigmaSoft Threat Scorecards ay nagpapakita ng iba't ibang kapaki-pakinabang na impormasyon, kabilang ang:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Antas ng Kalubhaan: Ang tinutukoy na antas ng kalubhaan ng isang bagay, na kinakatawan ayon sa numero, batay sa aming proseso sa pagmomodelo ng panganib at pananaliksik, gaya ng ipinaliwanag sa aming Pamantayan sa Pagtatasa ng Banta .
Mga Infected na Computer: Ang bilang ng mga nakumpirma at pinaghihinalaang kaso ng isang partikular na banta na nakita sa mga infected na computer gaya ng iniulat ng SpyHunter.
Tingnan din ang Pamantayan sa Pagtatasa ng Banta .
| Popularity Rank: | 14,588 |
| Antas ng Banta: | 90 % (Mataas) |
| Mga Infected na Computer: | 105,065 |
| Unang Nakita: | September 15, 2015 |
| Huling nakita: | November 8, 2025 |
| Apektado ang (mga) OS: | Windows |
Ang Ursu ay isang nagbabantang Trojan na pumapasok sa iyong computer nang hindi mo alam o pahintulot, kadalasan sa pamamagitan ng pagsasamantala sa mga kahinaan ng system at mga bahid ng seguridad. Maaari itong ma-download mula sa mga sirang website o mga attachment sa email mula sa mga hindi pinagkakatiwalaang mapagkukunan. Ang mga weaponized na file ay maaaring mula sa iba't ibang uri, tulad ng .exe, .pif, .avi at kahit na .jpg na mga file.
Kapag na-install na, mananatiling nakatago si Ursu sa background at malamang na gagawa ng iba't ibang mapaminsalang function na nagbibigay-daan sa mga aktor ng pagbabanta na makakuha ng kumpletong kontrol sa system ng biktima. Maaaring kabilang sa mga nagbabantang kakayahan ng Ursu Trojan ang pagtanggal ng mga file, pag-install ng karagdagang malware, pagkolekta ng mga password, pagbabago ng mga setting ng system at pagsubaybay sa aktibidad ng computer. Dahil walang kakayahan si Ursu na gayahin ang sarili nito, ang mga gumagamit ng computer ay kailangang gumawa ng mga hakbang upang protektahan ang kanilang mga makina laban dito upang maiwasan ang pag-install nito sa kanilang mga computer.
Talaan ng mga Nilalaman
Gaano Kasama ang mga Banta Gaya ng Ursu Trojan
Ang banta ng Trojan ay malware na maaaring mai-inject o itago bilang lehitimong software o mga file, na karaniwang kumakalat sa pamamagitan ng pagbabahagi ng file, pag-download o email. Kapag nasa loob na ng iyong computer, maaari itong magdulot ng pinsala sa pamamagitan ng hindi pagpapagana ng mga function ng system, pag-hijack ng personal na impormasyon, pag-access sa iba pang mga device na konektado sa network o pagbibigay sa mga operator nito ng malayuang pag-access sa nalabag na device.
Karaniwan, ang mga Trojan ay ginagamit upang bigyan ang mga hacker ng access sa device ng isang user, kontrolin ang mga mapagkukunan nito at pagbubukas ng mga pagkakataon para sa karagdagang pag-atake, tulad ng ransomware at pagnanakaw ng data. Sa ilang mga kaso, ang mga ito ay idini-deploy ng mga hacker upang lumikha ng mga Distributed Denial-of-Service (DDoS) na pag-atake sa mga network at website. Bilang kahalili, maaari silang magamit upang mag-install ng karagdagang nagbabantang software sa mga PC, tulad ng mga keylogger, crypto-miners, atbp.
Paano Iwasan ang Ursu Trojan Attacks?
Ang pagpapanatiling napapanahon sa lahat ng naka-install na program ay nakakatulong na maprotektahan laban sa mga kahinaan sa seguridad na tina-target ng mga umaatake. Nalalapat ito hindi lamang sa iyong operating system kundi pati na rin sa anumang mga application na maaaring mayroon ka, gaya ng mga browser o email client. Ang regular na pag-back up ng mahahalagang data ay maaaring magbigay ng madaling paraan upang maibalik ang nawalang data kung sakaling may mangyari dahil sa mga epekto ng nakakapinsalang tool na pumapasok sa iyong makina.
Mahalaga rin na laging maging maingat kapag nagki-click sa mga link na ipinadala sa pamamagitan ng mga hindi hinihinging email – ang taktika na ito ay kadalasang ginagamit ng mga umaatake na sinusubukang linlangin ang mga user sa pag-download ng mga sirang file. Kung nakatanggap ka ng mga kahina-hinalang email na naglalaman ng mga attachment mula sa mga hindi kilalang nagpadala, subukang huwag makipag-ugnayan sa kanila hanggang sa ma-verify mo ang pagiging lehitimo ng kanilang mga nagpadala.
Mga Detalye ng Rehistro
Pagtatasa ng ulat
Pangkalahatang Impormasyon
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Laki ng File:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Pangalan | Halaga |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Data | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
