多许可证折扣报价
威胁数据库 恶意软件 乌尔苏木马

乌尔苏木马

通过Mezo恶意软件, 特洛伊木马
翻译为:

威胁评分卡

Popularity Rank: 14,588
威胁级别: 90 % (高的)
受感染的计算机: 105,065
初见: September 15, 2015
最后一次露面: November 8, 2025
受影响的操作系统: Windows

Ursu 是一种具有威胁性的特洛伊木马程序,它会在您不知情或未同意的情况下侵入您的计算机,通常是利用系统漏洞和安全漏洞。它可以从损坏的网站或来自不受信任来源的电子邮件附件下载。武器化文件可以来自各种不同的类型,例如 .exe、.pif、.avi 甚至 .jpg 文件。

安装后,Ursu 会隐藏在后台,并可能执行各种有害功能,使威胁行为者能够完全控制受害者的系统。 Ursu 特洛伊木马的威胁功能可能包括删除文件、安装其他恶意软件、收集密码、更改系统设置和监控计算机活动。由于 Ursu 没有自我复制的能力,计算机用户需要采取措施保护他们的机器免受它的侵害,以防止它在他们的计算机上安装。

Ursu 特洛伊木马之类的威胁有多有害

特洛伊木马威胁是可以注入或伪装成合法软件或文件的恶意软件,通常通过文件共享、下载或电子邮件传播。一旦进入您的计算机,它可能会通过禁用系统功能、劫持个人信息、访问连接到网络的其他设备或为其操作员提供对被破坏设备的远程访问来造成损害。

通常,特洛伊木马用于让黑客访问用户的设备,控制其资源并为进一步攻击(例如勒索软件和数据盗窃)创造机会。在某些情况下,它们被黑客部署以对网络和网站发起分布式拒绝服务 (DDoS) 攻击。或者,它们可用于在 PC 上安装其他威胁软件,例如键盘记录器、加密矿工等。

如何避免Ursu木马攻击?

使所有已安装的程序保持最新有助于防止攻击者瞄准安全漏洞。这不仅适用于您的操作系统,也适用于您可能拥有的任何应用程序,例如浏览器或电子邮件客户端。定期备份基本数据可以提供一种简单的方法来恢复丢失的数据,以防由于有害工具渗入您的机器的影响而发生某些事情。

在点击通过未经请求的电子邮件发送的链接时始终要小心,这一点也很重要——这种策略经常被攻击者用来试图诱骗用户下载损坏的文件。如果您收到来自未知发件人的包含附件的可疑电子邮件,请在设法验证其发件人的合法性之前尽量不要与他们互动。

注册表详情

乌尔苏木马 可能会创建以下注册表项或注册表项:
Regexp file mask
%LOCALAPPDATA%\petgame.exe
%UserProfile%\Local Settings\Application Data\petgame.exe
%windir%\branding\[RANDOM CHARACTERS].png
HKEY_LOCAL_MACHINE\Software\[APPLICATION]\Microsoft\Windows\CurrentVersion\Uninstall..{Uninstaller}
PetGame

分析报告

一般信息

Family Name: Trojan.Ursu.A
Signature status: No Signature

Known Samples

MD5: 05028cb6c42afa3c0f88162fa4ed96cd
SHA1: f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256: 4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
文件大小: 740.86 KB, 740864 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have exports table
  • File doesn't have security information
  • File is 32-bit executable
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

姓名 价值
Company Name
  • Microsoft Corporation
File Description
  • Win32 Cabinet Self-Extractor
  • Самоизвлечение CAB-файлов Win32
File Version
  • 11.00.17763.1 (WinBuild.160101.0800)
Internal Name
  • Wextract
Legal Copyright
  • © Microsoft Corporation. All rights reserved.
  • © Корпорация Майкрософт. Все права защищены.
Original Filename
  • WEXTRACT.EXE .MUI
Product Name
  • Internet Explorer
Product Version
  • 11.00.17763.1

File Traits

  • .NET
  • x86

Files Modified

File Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete
Show More
c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe Generic Write,Read Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe Synchronize,Write Attributes
c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp Generic Write,Read Attributes,Delete

Registry Modifications

Key::Value 数据 API Name
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" RegNtPreCreateKey
HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" RegNtPreCreateKey

Windows API Usage

Category API
Process Manipulation Evasion
  • NtUnmapViewOfSection
Process Shell Execute
  • CreateProcess
User Data Access
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Encryption Used
  • BCryptOpenAlgorithmProvider
Anti Debug
  • NtQuerySystemInformation

Shell Command Execution

C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe

趋势

Defendpcpro.xyz

恶意网站, 广告软件
Defendpcpro.xyz 是一个专注于运行各种在线策略的站点。建议登陆该页面的用户谨慎行事,因为他们可能会收到大量误导性和欺骗性的信息。实际上,已确认 Defedpcpro.xyz 显示与“您的 PC 感染了 5 种病毒!”相关的消息。和“您的 Windows 10 感染了病毒!”策略。重要的是要记住,这种类型的许多恶意页面可以根据每个访问者的地理位置调整它们显示的可疑内容。...

Jpadscity.com

恶意网站, 广告软件, 浏览器劫持者
在对 Jpadscity.com 进行调查后,网络安全研究人员发现这是一个欺骗性网站,主要目的是欺骗访问者订阅其通知。值得一提的是,用户很少有意访问像 Jpadscity.com 这样的网站。此外,这些类型的页面可能会被设计为将用户重定向到其他不可信的网站,从而进一步放大该网站的欺骗性特征。 应谨慎对待 Jpadscity.com 等流氓网站 Jpadscity.com...

最受关注

如何修复“打印机驱动程序不可用”错误

问题
51,625
打印机因拒绝在用户最需要的时候完成工作而臭名昭著。幸运的是,如果您的打印机显示“打印机驱动程序不可用”错误,那么有几个简单的解决方案可以解决该问题。此特定错误可能是由损坏的驱动程序文件、过时的驱动程序或驱动程序不兼容引起的。虽然使用 Microsoft 的通用驱动程序可以避免该问题,但我们想向您介绍其他解决方案。 更新打印机的驱动程序...

Discord 卡在灰色屏幕上

问题
40,066
有时,在使用 Discord 应用程序时,用户可能会卡在灰色屏幕上。在流式传输或简单地加载应用程序时可能会出现此问题。如果您遇到这种情况并且想知道如何解决它,请尝试以下解决方案。 在屏幕模式之间切换 如果原因是视觉故障而不是更严重的问题,从一种屏幕模式切换到另一种屏幕模式,例如启用全屏模式或较小的屏幕选项,可以解决问题。按键盘上的 Ctrl+A 看看它是否有任何效果。 删除 Discord...
Discord 在共享屏幕时显示黑屏截图

Discord 在共享屏幕时显示黑屏

问题
37,980
首次推出时,Discord 是一个面向游戏社区的 VoIP 平台。然而,在接下来的几年里,它扩大了范围,增加了许多新功能,并成为最大的社交平台之一,每月活跃用户超过 1.4 亿。目前,用户可以发送私人即时消息、启动 VoIP 和视频通话、流式传输他们的计算机屏幕,并组织以特定兴趣为中心的称为服务器的社区。 毫无疑问,快速轻松地开始共享计算机屏幕的能力是吸引人们使用 Discord...
正在加载...