Ursu Truva Atı
Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartı
EnigmaSoft Tehdit Puan Kartları, araştırma ekibimiz tarafından toplanan ve analiz edilen farklı kötü amaçlı yazılım tehditleri için değerlendirme raporlarıdır. EnigmaSoft Tehdit Puan Kartları, gerçek dünya ve potansiyel risk faktörleri, eğilimler, sıklık, yaygınlık ve kalıcılık dahil olmak üzere çeşitli ölçümleri kullanarak tehditleri değerlendirir ve sıralar. EnigmaSoft Tehdit Puan Kartları, araştırma verilerimize ve ölçümlerimize dayalı olarak düzenli olarak güncellenir ve kötü amaçlı yazılımları sistemlerinden kaldırmak için çözümler arayan son kullanıcılardan tehditleri analiz eden güvenlik uzmanlarına kadar çok çeşitli bilgisayar kullanıcıları için yararlıdır.
EnigmaSoft Tehdit Puan Kartları, aşağıdakiler de dahil olmak üzere çeşitli yararlı bilgiler görüntüler:
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Önem Düzeyi: Tehdit Değerlendirme Kriterlerimizde açıklandığı gibi, risk modelleme sürecimize ve araştırmamıza dayalı olarak sayısal olarak gösterilen, bir nesnenin belirlenen önem düzeyi.
Enfekte Bilgisayarlar: SpyHunter tarafından bildirildiği üzere, virüslü bilgisayarlarda tespit edilen belirli bir tehdidin doğrulanmış ve şüphelenilen vakalarının sayısı.
Ayrıca bkz. Tehdit Değerlendirme Kriterleri .
| Popularity Rank: | 14,588 |
| Tehlike seviyesi: | 90 % (Yüksek) |
| Etkilenen Bilgisayarlar: | 105,065 |
| İlk görüş: | September 15, 2015 |
| Son görülen: | November 8, 2025 |
| Etkilenen İşletim Sistemleri: | Windows |
Ursu, genellikle sistem açıklarından ve güvenlik kusurlarından yararlanarak, bilginiz veya izniniz olmadan bilgisayarınıza sızan tehdit edici bir Truva Atı'dır. Bozuk web sitelerinden veya güvenilmeyen kaynaklardan gelen e-posta eklerinden indirilebilir. Silah haline getirilmiş dosyalar, .exe, .pif, .avi ve hatta .jpg dosyaları gibi çeşitli farklı türlerde olabilir.
Ursu bir kez kurulduktan sonra arka planda gizli kalır ve muhtemelen tehdit aktörlerinin kurbanın sistemi üzerinde tam kontrol sahibi olmasını sağlayan çeşitli zararlı işlevleri yerine getirir. Ursu Truva Atı'nın tehdit edici yetenekleri, dosyaları silmeyi, ek kötü amaçlı yazılım yüklemeyi, parolaları toplamayı, sistem ayarlarını değiştirmeyi ve bilgisayar etkinliğini izlemeyi içerebilir. Ursu kendini kopyalama yeteneğine sahip olmadığından, bilgisayar kullanıcılarının bilgisayarlarına yüklenmesini önlemek için makinelerini buna karşı korumak için önlemler almaları gerekir.
İçindekiler
Ursu Truva Atı Gibi Tehditler Ne Kadar Zararlıdır?
Truva atı tehdidi, genellikle dosya paylaşımı, indirmeler veya e-postalar yoluyla yayılan meşru yazılım veya dosyalara enjekte edilebilen veya bunlar gibi görünebilen kötü amaçlı yazılımdır. Bilgisayarınızın içine girdikten sonra, sistem işlevlerini devre dışı bırakarak, kişisel bilgileri ele geçirerek, ağa bağlı diğer cihazlara erişerek veya operatörlerine ihlal edilen cihaza uzaktan erişim sağlayarak hasara neden olabilir.
Tipik olarak Truva atları, bilgisayar korsanlarının bir kullanıcının cihazına erişmesini sağlamak, kaynaklarının kontrolünü ele geçirmek ve fidye yazılımı ve veri hırsızlığı gibi başka saldırılar için fırsatlar yaratmak için kullanılır. Bazı durumlarda, bilgisayar korsanları tarafından ağlara ve web sitelerine Dağıtılmış Hizmet Reddi (DDoS) saldırıları oluşturmak için dağıtılırlar. Alternatif olarak, keylogger'lar, kripto madencileri vb. gibi ek tehdit edici yazılımları PC'lere yüklemek için kullanılabilirler.
Ursu Trojan Saldırılarından Nasıl Kaçınılır?
Yüklü tüm programların güncel tutulması, saldırganların hedef aldığı güvenlik açıklarına karşı korunmaya yardımcı olur. Bu yalnızca işletim sisteminiz için değil, tarayıcılar veya e-posta istemcileri gibi sahip olabileceğiniz tüm uygulamalar için de geçerlidir. Temel verileri düzenli olarak yedeklemek, makinenize sızan zararlı bir aracın etkileri nedeniyle bir şey olması durumunda kaybolan verileri geri yüklemek için kolay bir yol sağlayabilir.
İstenmeyen e-postalar yoluyla gönderilen bağlantılara tıklarken her zaman dikkatli olmak da çok önemlidir - bu taktik genellikle, kullanıcıları bozuk dosyaları indirmeleri için kandırmaya çalışan saldırganlar tarafından kullanılır. Bilinmeyen göndericilerden ekler içeren şüpheli e-postalar alırsanız, gönderenlerin meşruiyetini doğrulamayı başarana kadar onlarla etkileşimde bulunmamaya çalışın.
Kayıt defteri detayları
Analiz raporu
Genel bilgi
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Dosya boyutu:
740.86 KB, 740864 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have exports table
- File doesn't have security information
- File is 32-bit executable
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| isim | Değer |
|---|---|
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- x86
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Veri | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
