Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Trojan Ursu

Trojan Ursu

Đến năm Mezo năm Phần mềm độc hại, Trojan
Dịch sang:

Thẻ điểm Đe doạ

Popularity Rank: 14,588
Mức độ nguy hiểm: 90 % (Cao)
Máy tính bị nhiễm: 105,065
Lần đầu tiên nhìn thấy: September 15, 2015
Nhìn thấy lần cuối: November 8, 2025
(Các) hệ điều hành bị ảnh hưởng: Windows

Ursu là một Trojan đe dọa xâm nhập vào máy tính của bạn mà bạn không biết hoặc không đồng ý, thường bằng cách khai thác các lỗ hổng hệ thống và lỗi bảo mật. Nó có thể được tải xuống từ các trang web bị hỏng hoặc tệp đính kèm email từ các nguồn không đáng tin cậy. Các tệp được vũ khí hóa có thể thuộc nhiều loại khác nhau, chẳng hạn như tệp .exe, .pif, .avi và thậm chí cả tệp .jpg.

Sau khi được cài đặt, Ursu vẫn ẩn trong nền và có khả năng sẽ thực hiện nhiều chức năng có hại khác nhau cho phép các tác nhân đe dọa giành quyền kiểm soát hoàn toàn hệ thống của nạn nhân. Các khả năng đe dọa của Trojan Ursu có thể bao gồm xóa tệp, cài đặt phần mềm độc hại bổ sung, thu thập mật khẩu, thay đổi cài đặt hệ thống và giám sát hoạt động của máy tính. Vì Ursu không có khả năng tự sao chép nên người dùng máy tính cần thực hiện các biện pháp bảo vệ máy của họ chống lại nó để ngăn việc cài đặt nó trên máy tính của họ.

Các mối đe dọa như Trojan Ursu có hại như thế nào

Mối đe dọa Trojan là phần mềm độc hại có thể được đưa vào hoặc ngụy trang thành phần mềm hoặc tệp hợp pháp, thường lây lan qua chia sẻ tệp, tải xuống hoặc email. Khi đã ở bên trong máy tính của bạn, nó có thể gây ra thiệt hại bằng cách vô hiệu hóa các chức năng hệ thống, chiếm đoạt thông tin cá nhân, truy cập các thiết bị khác được kết nối với mạng hoặc cung cấp cho người điều hành mạng quyền truy cập từ xa vào thiết bị bị xâm phạm.

Thông thường, Trojan được sử dụng để cấp cho tin tặc quyền truy cập vào thiết bị của người dùng, chiếm quyền kiểm soát tài nguyên của thiết bị và mở ra cơ hội cho các cuộc tấn công tiếp theo, chẳng hạn như mã độc tống tiền và đánh cắp dữ liệu. Trong một số trường hợp, chúng được tin tặc triển khai để tạo ra các cuộc tấn công từ chối dịch vụ phân tán (DDoS) trên các mạng và trang web. Ngoài ra, chúng có thể được sử dụng để cài đặt phần mềm đe dọa bổ sung vào PC, chẳng hạn như keylogger, công cụ khai thác tiền điện tử, v.v.

Làm thế nào để tránh các cuộc tấn công Trojan Ursu?

Luôn cập nhật tất cả các chương trình đã cài đặt giúp bảo vệ chống lại các lỗ hổng bảo mật mà kẻ tấn công nhắm đến. Điều này không chỉ áp dụng cho hệ điều hành của bạn mà còn cho bất kỳ ứng dụng nào bạn có thể có, chẳng hạn như trình duyệt hoặc ứng dụng email. Sao lưu định kỳ dữ liệu cần thiết có thể là cách dễ dàng để khôi phục dữ liệu bị mất trong trường hợp có điều gì đó xảy ra do tác động của một công cụ có hại xâm nhập vào máy của bạn.

Điều quan trọng là luôn phải cẩn thận khi nhấp vào các liên kết được gửi qua email không mong muốn – chiến thuật này thường được những kẻ tấn công sử dụng để cố lừa người dùng tải xuống các tệp bị hỏng. Nếu bạn nhận được email đáng ngờ có chứa tệp đính kèm từ những người gửi không xác định, hãy cố gắng không tương tác với họ cho đến khi bạn xác minh được tính hợp pháp của người gửi.

Chi tiết đăng ký

Trojan Ursu có thể tạo mục đăng ký hoặc mục đăng ký sau:
Regexp file mask
%LOCALAPPDATA%\petgame.exe
%UserProfile%\Local Settings\Application Data\petgame.exe
%windir%\branding\[RANDOM CHARACTERS].png
HKEY_LOCAL_MACHINE\Software\[APPLICATION]\Microsoft\Windows\CurrentVersion\Uninstall..{Uninstaller}
PetGame

Báo cáo phân tích

Thông tin chung

Family Name: Trojan.Ursu.A
Signature status: No Signature

Known Samples

MD5: 05028cb6c42afa3c0f88162fa4ed96cd
SHA1: f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256: 4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Kích thước tập tin: 740.86 KB, 740864 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

Tên Giá trị
Company Name
  • Microsoft Corporation
File Description
  • Win32 Cabinet Self-Extractor
  • Самоизвлечение CAB-файлов Win32
File Version
  • 11.00.17763.1 (WinBuild.160101.0800)
Internal Name
  • Wextract
Legal Copyright
  • © Microsoft Corporation. All rights reserved.
  • © Корпорация Майкрософт. Все права защищены.
Original Filename
  • WEXTRACT.EXE .MUI
Product Name
  • Internet Explorer
Product Version
  • 11.00.17763.1

File Traits

  • .NET
  • x86

Files Modified

File Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
Show More
c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value Dữ liệu API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
User Data Access
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Encryption Used
  • BCryptOpenAlgorithmProvider
Anti Debug
  • NtQuerySystemInformation

Shell Command Execution

C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
32,726
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...