Den DarkHydrus Trojan är ett farligt vapen som används mot datoranvändare i hela världen. Det smittar främst via infekterade dokument. Vår artikel ger en översikt av sitt beteende enligt de insamlade prover och tillgängliga rapporter, även om det kan vara till hjälp i ett försök att ta bort viruset.
Den DarkHydrus Trojan är uppkallad efter den straffrättsliga kollektiva bakom det. Koden är baserad på en äldre prov känd som RogueRobin Trojan. Den upptäckta angrepp kampanj har flera olika versioner av infekterade dokument, särskilt Excel-dokument med .xlsm förlängning. När de öppnade en Säkerhet Varning kommer att visas som ber användarna att aktivera den inbyggda innehåll. Analys av dokument som visar att de förvärvade prover gjordes i December 2018 och januari 2019. Det är mycket möjligt att andra format är också används för samma ändamål: databaser, kalkylblad och textfiler. Så snart skript är tillåtet att köra de kommer att starta ett PowerShell-skript som kommer att leda till |Trojan-installation. Ändringar till viktiga data system kommer att ställa in den att starta automatiskt när datorn startas.
Samtidigt som denna kampanj använder för närvarande handlingar som den viktigaste nyttolast leverans enhet det finns andra metoder som kan anses vara av hackare. Några av dem är följande:
- Infekterade Program Installatörer — En liknande strategi är att bädda in det Trojanska leverans kod i setup-filer för populära program som ofta hämtas av slutanvändare. Exempel program omfattar system utilities, kreativitet sviter, optimering verktyg och produktivitet apps. När filer körs den DarkHydrus Trojan kommer att användas.
- E-Phishing-Meddelanden — Traditionella ransomware leverans sker genom att sända ut meddelanden som imiterar legitima meddelanden skickas ut via e-post. De kommer ofta att imitera kända företag, produkter och tjänster genom att kopiera sin kropp layout och text. Så snart som offer interagera med någon av de skadliga element eller bifogad fil infektionen kommer att vara igång.
- Skadliga Webbplatser — Att göra infektioner vanligare hackare kan modellen falska webbplatser för att uppträda som en legitim målsidor, programvara leverantör webbplatser, ladda ner portaler och etc. När offren interagerar med någon av de element som den DarkHydrus Trojan infektion kommer att förvärvas — detta kan vara när du hämtar en fil eller att helt enkelt klicka på ett manus.
- Webbläsare Kapare — De är webb-baserad plugins som gjorts av hackare och vanligtvis ut på respektive arkiv. Detta görs med falska utvecklare referenser och omdömen från andra användare. Deras beskrivningar kommer att inkludera löften om prestanda förbättringar eller tillägg av nya funktioner.
Som DarkHydrus Trojan är baserat på källkoden i en tidigare hotet många av dess funktionalitet wll delas. Under de virus installation hotet kommer att vara inställd att köras varje gång datorn startas på som gör det mycket svårt att ta bort. Det andra kommandot körs så snart som smittan har skett är säkerheten bypass funktion. Det kommer att skanna den infekterade maskinen minne och sökning för varje installerad virtuella maskinen är värd, debug-verktyg eller sandbox-miljö som kan användas av specialister på säkerhet för att analysera det. Motorn kommer att omedelbart stänga av sig själv om den upptäcker att en sådan ansökan eller tjänsten är igång.
Den Trojanska kommer då att upprätta en anslutning till en hacker-kontrollerad server med hjälp av reguljära uttryck. Det är intressant att notera att detta sker via DNS-frågor och anpassade frågor. Utmärkande för detta särskilt skadlig kod är att den kommer att bygga en underdomän för varje enskild infektion. Koden analys visar en lista över tillgängliga kommandon:
- ^döda — Det kommer att instruera tråd som innehåller Trojanska häst avlivas
- ^$fileDownload — Den givna filen ska laddas upp till hacker-kontrollerad server
- ^$importModule — Går en PowerShell exempel och lägger till den i ”moduler” – listan
- ^$x_mode — som slår på en alternativ ”x_mode” – läge som växlar till en alternativ kommando kanal
- ^$ClearModules — Raderar tidigare att köra ”modules” – listan
- ^$fileUpload — Detta kommando används för att ställa in en sökväg till som en ny fil laddas upp.
- ^testmode — det Här kör ett test funktion som kontrollerar om ett samband kan säkert göras till hacker-kontrollerad server
- ^showconfig — Detta kommer att generera den aktuella konfigurationen av infektion motor
- ^changeConfig — Detta kommer att utlösa en konfigurationsändring som tar skickade in parametrar och sparar dem på den lokala exempel
- ^slp — Detta til setup sleep och jitter värden
- ^avsluta — går ur Trojan exempel
Den nya varianten av DarkHydrus Trojan har funnit att använda Google Drive som instrumental-förrådet för att leverera hacker-kommandon. Detta görs genom att ladda upp en fil till fördefinierade hacker-konto och att ständigt kontrollera för eventuella ändringar i dokumentet. Någon in kommandot kommer att köras enligt den angivna områden. Alla chnages till den uppladdade dokument betraktas som arbetstillfällen som kommer att köras på infekterade datorer. Autentisering till tjänsten görs via särskilda kommandon som är specifika för Google Drive-systemet. Särskilda polletter läst innan tillgång ges till dokument.
Ett komplext nätverk av domäner som har uppenbarats som visar att mycket arbete har genomförts i syfte att skapa en Trojan och dess infrastruktur. Dess kod analys visar att det är i stånd att utföra skada på de system och stjäla känsliga data. Detta görs via ett särskilt skript som använder den insamlade informationen för att generera ett unikt dator-ID. Det finns två kategorier av information som vanligtvis anses vara:
- Personliga Information — kommer motorn att söka efter strängar som direkt kan avslöja identiteten på offret användare. Trojanen kan instrueras inte bara för att söka i minnet, men även innehållet på hårddisken, flyttbara enheter och tillgängliga nätverk-aktier. Uppgifter av intresse inkluderar namn, adress, telefonnummer, uppgifter läge och alla sparade lösenord. Den insamlade informationen kan användas för att utföra brott som stöld av identitet och ekonomiska övergrepp.
- Maskinen Information — Den Trojanska kan generera en rapport av den installerade hårdvaran komponenter och system inställningar. De omfattande data som är användbara för att avgöra vilken typ av datorer är infekterade. Den statistiska information som är användbar när man utformar uppdateringar för Trojan.
Det finns olika användningsområden för den Trojan som kan vara mycket mer än en enkel intåg på den infekterade datorer. Användningen av komplexa infrastruktur och komplexa säkerhets-bypass-åtgärder som vidtagits i början av infektionen rutin visar att målet offer är troligen företag eller myndigheter. Det är mycket sannolikt att framtida versioner kan lägga till i nyare funktionaliteten och förbättra redan aktiverat för dem. Användningen av Google Drive infrastruktur kan göra det svårare för någon nätverksadministratörer att märka en infektion Trojan kunder förväntas att kontakta ovanligt hacker-kontrollerade servrar.
De uppgifter som stöld kapacitet ger trygghet analytiker skäl att tro att detta kan vara ett vapen för sabotage ändamål. Motorn kan samla en stor mängd information inom båda kategorier av uppgifter som eventuellt ansluter till nätverket enheter samt. I den händelse det är en samordnad attack mot ett visst företag kan detta vara ett mycket kraftfullt vapen.
Den utförs koden analys visar att Trojanen kan komma åt och ändra ett brett utbud av system data:
- Windows Registret — Ändringar i Windows Registret kan äventyra både de värden som används av operativsystemet och alla appar från tredje part. Detta kan leda till allvarliga problem med prestanda och oförmåga att få åtkomst till vissa tjänster eller funktioner som normalt används av slutanvändare. Ändringar till poster som tillhör någon tredje-parts program kan leda till oväntade fel.
- Boot Alternativ — att Detta görs i syfte att fastställa den Trojanska startar automatiskt när datorn är påslagen. Vissa åtgärder kan inaktivera åtkomst till återhämtning boot meny och inställningar som gör det omöjligt att använda de flesta av manuell återställning guider.
- Data System — Den motorn kan användas för att söka och identitet någon backup, systemåterställning punkter och andra filer som används under återhämtning.
Med tanke på det faktum att DarkHydrus Trojan presenterar ett komplext hot som kan lanseras på företag och myndigheter vid varje given tidpunkt när kommandot ges för alla befintliga infektioner bör identifieras och tas bort så snabbt som möjligt. Framtida uppdateringar kan omvandla det till en ännu mer kraftfulla vapen.
Om din dator blev infekterad med DarkHydrus Trojan Trojan, du bör ha lite erfarenhet av att ta bort skadlig kod. Ska du bli av med denna Trojan så snabbt som möjligt innan det kan ha en chans att sprida sig vidare och infektera andra datorer. Du bör ta bort Trojan och följ steg-för-steg-instruktioner som ges nedan.
Varning, har mångfaldig mot-virus avsökare upptäckt möjliga malware i DarkHydrus Trojan.
| Anti-virusprogram | Version | Upptäckt |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| Dr.Web | Adware.Searcher.2467 | |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
DarkHydrus Trojan beteende
- Ändrar användarens hemsida
- DarkHydrus Trojan visar kommersiella annonser
- Installerar sig själv utan behörighet
- Visar falska säkerhetsvarningar, Pop-ups och annonser.
- Ändrar skrivbordet och webbläsarinställningar.
- Omdirigera webbläsaren till infekterade sidor.
- Saktar internet-anslutning
- Fördelar sig genom pay-per-install eller levereras med programvara från tredje part.
- DarkHydrus Trojan inaktiveras installerade säkerhetsprogram.
- Stjäl eller använder dina konfidentiella Data
- Integreras i webbläsaren via webbläsartillägget DarkHydrus Trojan
- Gemensam DarkHydrus Trojan beteende och några andra emplaining som Textinfo relaterade till beteende
DarkHydrus Trojan verkställde Windows OS-versioner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
DarkHydrus Trojan geografi
Eliminera [postnamn] från Windows
Ta bort [postnamn] från Windows XP:
- Klicka på börja öppna menyn.
- Välj Kontrollpanelen och gå till Lägg till eller ta bort program.
- Välja och ta bort det oönskade programmet.
Ta bort [postnamn] från din Windows 7 och Vista:
- Öppna Start -menyn och välj Control Panel.
- Flytta till Avinstallera ett program
- Högerklicka på den oönskade app och välj Avinstallera.
Radera [postnamn] från Windows 8 och 8.1:
- Högerklicka på den nedre vänstra hörnet och välj Kontrollpanelen.
- Välj Avinstallera ett program och högerklicka på den oönskade app.
- Klicka på Avinstallera .
Ta bort [postnamn] från din webbläsare
[postnamn] Avlägsnas från Internet Explorer
- Klicka på växel ikonen och välj Internet-alternativ.
- Gå till fliken Avancerat och klicka på Återställ.
- Ta bort personliga inställningar och klicka återställa igen.
- Klicka på Stäng och välj OK.
- Gå tillbaka till växel ikonen, Välj Hantera tillägg → verktygsfält och tillägg, och ta bort oönskade extensions.
- Gå till Sökleverantörer och välj en ny standard sökmotor
Radera [postnamn] från Mozilla Firefox
- Ange "about:addons" i URL -fältet.
- Gå till anknytningar och ta bort misstänkta webbläsartillägg
- Klicka på på- menyn, klicka på frågetecknet och öppna Firefox hjälp. Klicka på Uppdatera Firefox knappen och välj Uppdatera Firefox att bekräfta.
Avsluta [postnamn] från Chrome
- Skriver in "chrome://extensions" i URL -fältet och tryck på RETUR.
- Avsluta opålitliga webbläsare extensions
- Starta om Google Chrome.
- Öppna Chrome-menyn, klicka på inställningar → Visa avancerade inställningar, Välj Återställ webbläsarens inställningar och klicka på Återställ (valfritt).