Den DarkHydrus Trojan er et farligt våben, der anvendes mod computer-brugere over hele verden. Det smitter primært via inficerede dokumenter. Vores artikel giver et overblik over sin adfærd i henhold til de indsamlede prøver og tilgængelige rapporter, også kan det være nyttigt at forsøge at fjerne virus.
Den DarkHydrus Trojan er opkaldt efter den kriminelle kollektiv bag det. Dets kode er baseret på en ældre prøve kendt som RogueRobin Trojan. De konstaterede angreb kampagne har flere forskellige versioner af inficerede dokumenter, specielt Excel-dokumenter med .xlsm forlængelse. Når de er åbnet en Sikkerheds Advarsel, vil blive vist beder brugerne til at aktivere den indbyggede indhold. Analysen af det dokument, der viser, at erhvervet prøver, der blev foretaget i December 2018, og januar 2019. Det er meget muligt, at andre formater er også bruges til de samme formål: databaser, regneark og tekstdokumenter. Så snart scripts er tilladt at køre de vil udløse en PowerShell script, der vil føre til det |Trojan-installation. Ændringer til key system data vil indstille den til at starte automatisk, når computeren startes.
Mens denne kampagne, der i øjeblikket bruger dokumenter, som den primære nyttelast levering-enhed, der er andre metoder, som kan benyttes af hackere. Nogle af dem omfatter følgende:
- Inficeret Software Installatører — En lignende strategi er at integrere den Trojanske levering kode i setup-filer af populære applikationer, der ofte hentes af brugerne selv. Eksempel programmer omfatter system utilities, kreativitet suites, optimering værktøjer og produktivitet apps. Når filer køres den DarkHydrus Trojan vil blive indsat.
- Phishing-e-mail-Beskeder — Traditionelle ransomware levering sker ved at sende beskeder, der efterligne legitime meddelelser sendes ud via e-mails. De vil ofte fremtræde som kendte virksomheder, produkter og tjenester ved at kopiere deres krop, layout og tekst. Så snart ofre interagere med nogen af de skadelige elementer, eller den vedhæftede fil infektionen vil blive startet.
- Ondsindede Websteder, — At gøre infektioner mere udbredt hackere kan model falske websteder, som efterligner legitimt landing pages, software-leverandør sites, download portaler og osv. Når ofrene interagerer med nogen af de elementer, DarkHydrus Trojan infektion, vil blive erhvervet — det kan være, når du henter en fil eller blot at klikke på et script.
- Browser Hijackers — De er browser-baserede plugins, som er lavet af hackere, og er normalt indsat på de respektive arkiver. Dette er gjort med falske udvikler legitimationsoplysninger og bruger anmeldelser. Deres beskrivelser vil indeholde løfter om forbedringer af ydelsen eller tilføjelse af ny funktionalitet.
Som DarkHydrus Trojan er baseret på kildekoden til et tidligere trussel mange af dens funktionalitet wll være fælles. I løbet af den virus, installation af den trussel, vil blive indstillet til at køre, hver gang computeren er tændt, hvilket gør det meget svært at fjerne. Den anden kommando der køres så snart infektionen har fundet sted, er den sikkerhed, bypass-funktion. Det vil scanne den inficerede maskine hukommelse og søge efter nogen, der er installeret virtual machine værter, debug-værktøjer eller sandbox-miljø, som kan anvendes som sikkerhed specialister til at analysere det. Motoren vil straks lukke sig selv ned, hvis det registrerer, at sådan et program eller en service kører.
Den Trojan vil derefter oprette en forbindelse til et hacker-kontrolleret server ved hjælp af regulære udtryk. Det interessante at bemærke, at dette gøres via DNS-forespørgsler og brugerdefinerede forespørgsler. Det karakteristiske træk ved denne særlige malware er, at det vil bygge et underdomæne til den enkelte infektion. Koden analyse viser en liste over de tilgængelige kommandoer:
- ^dræbe — Dette vil instruere den tråd, som indeholder den Trojanske til at blive dræbt
- ^$showsuggestedsolution — De givne filer er at blive overført til den hacker-kontrolleret server
- ^$importModule — Kører et PowerShell instans, og tilføjer det til “moduler” liste
- ^$x_mode — tænder på en alternativ “x_mode” tilstand, som skifter til en alternativ kommando kanal
- ^$ClearModules — Rydder tidligere har kørt “moduler” liste
- ^$fileUpload — Denne kommando bruges til at sætte en sti, som en ny fil, der skal uploades.
- ^testmode — Dette er en test-funktion, som kontrollerer, om en forbindelse, kan du sikkert gjort til hacker-kontrolleret server
- ^showconfig — Dette vil generere den aktuelle konfiguration af infektion motor
- ^changeConfig — Dette vil udløse en ændret konfiguration, der tager sendt input parametre og gemmer dem på den lokale instans
- ^slp — Dette wil setup søvn og jitter værdier
- ^exit — Afslutter den Trojanske eksempel
Den nye variant af DarkHydrus Trojan er blevet fundet for at bruge Google Drev, som den instrumentale lager til at levere hacker-kommandoer. Dette gøres ved at uploade en fil til foruddefinerede hacker-konto og tjekker konstant for eventuelle ændringer for dokumentet. Alle indtastede kommando vil køre efter de angivne felter. Alle chnages til de uploadede dokument, betragtes som arbejdspladser, der vil køre på de inficerede computere. Godkendelse til tjenesten sker via specielle kommandoer, der er specifikke for Google Drev-ordning. Særlige adgang møntefterligninger, der skal hentes, før der gives adgang til dokumentet.
Et komplekst netværk af domæner, der er blevet åbenbaret, som viser, at meget arbejde er blevet gennemført med henblik på at skabe den Trojanske hest og dens infrastruktur. Sin kode analyse afslører, at det er i stand til at udføre skade på de systemer og kapre følsomme data. Dette sker via en særlig script, der bruger de indsamlede oplysninger til at generere en unik maskine-ID. Der er to kategorier af oplysninger, der er normalt betragtes som:
- Personlige Oplysninger — vil motoren søg efter strenge, der direkte kan afsløre identiteten af offeret brugere. Den Trojanske hest kan blive instrueret ikke kun for at søge i hukommelsen, men også indholdet af harddisken, flytbare enheder og tilgængelige netværk aktier. Data af interesse omfatter navn, adresse, telefonnummer, placering af data og enhver, der er gemt konto legitimationsoplysninger. Den indsamlede information kan anvendes til at udføre forbrydelser som identitetstyveri og økonomisk udnyttelse.
- Maskine Oplysninger — Den Trojanske kan generere en rapport med de installerede hardware-komponenter og system indstillinger. De omfattende data, der er nyttige med henblik på at afgøre, hvad slags computere er inficeret. De statistiske oplysninger er nyttige, når designe opdateringer til den Trojanske.
Der er forskellige anvendelser for Trojan, som kan være meget mere end den simple overhale af de inficerede computere. Brug af kompleks infrastruktur og komplekse sikkerheds-bypass skridt, der er taget i begyndelsen af infektionen rutine viser, at målet ofre er sandsynligvis selskaber eller offentlige institutioner. Det er meget sandsynligt, at fremtidige versioner kan tilføje i nyere funktionalitet og forbedre de allerede aktiveret dem. Brug af Google Drev-infrastruktur kan gøre det sværere for alle netværk for administratorer at se en Trojan-infektion som kunderne forventes at kontakte usædvanlige hacker-kontrollerede servere.
De data, tyveri evne giver sikkerhed analytikere har grunde til at tro, at dette kan være et våben for sabotage formål. Motoren kan indsamle en stor mængde af informationer på tværs af begge kategorier af oplysninger, der potentielt få adgang til et netværksdrev, så godt. I tilfælde, hvor der er et koordineret angreb mod en bestemt virksomhed, dette kunne være et meget stærkt våben.
Den udførte kode analyse viser, at den Trojanske hest er i stand til at få adgang til og ændre en bred vifte af systemets data:
- Windows Registreringsdatabasen — Ændringer til Windows Registreringsdatabasen kan kompromittere både de værdier, der bruges af operativsystemet og tredjeparts-apps. Dette kan føre til alvorlige problemer med ydeevne og den manglende evne til at få adgang til visse tjenester eller funktioner, som normalt anvendes af slutbrugere. Ændringer til poster, der hører til en tredje-parts applikationer, der kan føre til uventet fejl.
- Boot Options — Dette er gjort for at indstille den Trojanske starte automatisk, når computeren er tændt. Visse handlinger kan deaktivere adgang til retablering boot-menu og indstillinger, som gør det umuligt at bruge de fleste af de manuelle recovery-guider.
- System Data — motoren kan bruges til at søge og identitet eventuelle sikkerhedskopier, systemgendannelsespunkter og andre filer, der er anvendt under genopretning.
I betragtning af den kendsgerning, at DarkHydrus Trojan præsenterer en kompleks trussel, der kan blive iværksat i virksomheder og offentlige institutioner på ethvert givet tidspunkt, når kommandoen er givet nogen eksisterende infektioner, bør identificeres og fjernes så hurtigt som muligt. Fremtidige opdateringer kan omdanne det til et endnu mere kraftfuldt våben.
Hvis din computer fik inficeret med DarkHydrus Trojan Trojan, bør du have en smule erfaring i fjernelse af malware. Du skal slippe af med denne Trojanske så hurtigt som muligt, før det kan have mulighed for at sprede sig yderligere, og at inficere andre computere. Du bør fjerne den Trojanske hest og følge trin-for-trin instruktioner guide nedenfor.
Advarsel, har flere anti-virus scannere fundet mulige malware i DarkHydrus Trojan.
Anti-virus Software | Version | Afsløring |
---|---|---|
Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
ESET-NOD32 | 8894 | Win32/Wajam.A |
Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
Dr.Web | Adware.Searcher.2467 | |
Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
VIPRE Antivirus | 22702 | Wajam (fs) |
Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
VIPRE Antivirus | 22224 | MalSign.Generic |
K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
DarkHydrus Trojan adfærd
- Omdirigere browseren til inficerede sider.
- Stjæler eller bruger dine fortrolige Data
- Fælles DarkHydrus Trojan adfærd og nogle andre tekst emplaining som info relateret til adfærd
- Ændrer brugerens hjemmeside
- Integrerer i webbrowser via browserudvidelse DarkHydrus Trojan
- Bremser internetforbindelse
- DarkHydrus Trojan deaktiveres installeret sikkerhedssoftware.
- DarkHydrus Trojan forbinder til internettet uden din tilladelse
- Ændrer skrivebordet og Browser-indstillingerne.
DarkHydrus Trojan foretages Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
DarkHydrus Trojan geografi
Fjerne DarkHydrus Trojan fra Windows
Slette DarkHydrus Trojan fra Windows XP:
- Klik på Start til at åbne menuen.
- Vælg Control Panel og gå til Tilføj eller fjern programmer.
- Vælg og fjerne det uønskede program.
Fjern DarkHydrus Trojan fra din Windows 7 og Vista:
- Åbn menuen Start og vælg Control Panel.
- Flytte til Fjern et program
- Højreklik på den uønskede app og vælge afinstallere.
Slette DarkHydrus Trojan fra Windows 8 og 8.1:
- Højreklik på den nederste venstre hjørne og vælg Kontrolpanel.
- Vælg Fjern et program og Højreklik på den uønskede app.
- Klik på Afinstaller .
Slette DarkHydrus Trojan fra din browsere
DarkHydrus Trojan Fjernelse fra Internet Explorer
- Klik på tandhjulsikonet , og vælg Internetindstillinger.
- Gå til fanen Avanceret , og klik på Nulstil.
- Kontrollere Slet personlige indstillinger og klikke på Nulstil igen.
- Klik på Luk og vælge OK.
- Gå tilbage til tandhjulsikonet, vælge Administrer tilføjelsesprogrammer → værktøjslinjer og udvidelser, og Slet uønskede udvidelser.
- Gå til Søgemaskiner og vælge en ny standard søgemaskine
Slette DarkHydrus Trojan fra Mozilla Firefox
- Indtast "about:addons" i URL- feltet.
- Gå til udvidelser og fjerne mistænkelige browserudvidelser
- Klik på menuen, skal du klikke på spørgsmålstegnet og åbne Firefox hjælp. Klik på Opdater Firefox knappen og vælg Opdater Firefox at bekræfte.
Opsige DarkHydrus Trojan fra Chrome
- Skrive "chrome://extensions" i URL- feltet og tryk på Enter.
- Opsige upålidelige browser extensions
- Genstart Google Chrome.
- Åbne Chrome menu, klik på Indstillinger → Vis avancerede indstillinger, Vælg Nulstil webbrowserindstillinger og klikke på Nulstil (valgfrit).