O DarkHydrus Trojan é uma perigosa arma utilizada contra os usuários de computador em todo o mundo. Ele infecta principalmente através de documentos infectados. O nosso artigo dá uma visão geral do seu comportamento de acordo com as amostras coletadas e relatórios disponíveis, também, pode ser útil tentar remover o vírus.
O DarkHydrus Trojan é nomeado após o criminoso coletiva por trás dele. Seu código é baseado em um antigo exemplo conhecido como o RogueRobin de Tróia. O ataque detectado campanha conta com várias versões distintas de documentos infectados, especificamente documentos do Excel .xlsm extensão. Quando eles são abertos um Aviso de Segurança será mostrado, pedindo que os usuários para ativar o built-in de conteúdo. A análise dos documentos mostra que o adquiriu amostras foram feitas em dezembro de 2018, e de janeiro de 2019. É muito possível que outros formatos também são usados para o mesmo propósito: bancos de dados, planilhas e documentos de texto. Assim que os scripts podem executar eles vão desencadear um script PowerShell que vai levar para o |Trojan instalação. Modificações para o sistema de tecla de dados irá ajustá-lo para iniciar automaticamente quando o computador é iniciado.
Durante esta campanha, atualmente, usa documentos como a principal carga útil de entrega do dispositivo existem outros métodos que podem ser considerados pelos hackers. Alguns deles incluem o seguinte:
- Software infectado Instaladores — Uma estratégia semelhante é incorporar o cavalo de Tróia de entrega de código em arquivos de instalação de aplicativos populares que freqüentemente são baixados por usuários finais. Exemplos de programas incluem utilitários do sistema, criatividade suites, otimização de ferramentas e aplicativos de produtividade. Quando os arquivos são executados a DarkHydrus Trojan será implantado.
- E-mail de Mensagens de Phishing — Tradicional ransomware entrega é feita através do envio de mensagens que imitar legítimo notificações enviadas através dos e-mails. Muitas vezes eles vão representar bem conhecidas de empresas, produtos e serviços copiando seu corpo layout e texto. Assim que as vítimas interagir com qualquer um dos elementos maliciosos ou o arquivo anexo a infecção será iniciado.
- Sites mal-intencionados — Para fazer as infecções mais prevalentes os hackers podem modelo de sites falsos que imitam legítimo páginas de destino, o fornecedor de software, sites, portais de download e etc. Sempre que as vítimas interage com qualquer um dos elementos do DarkHydrus Trojan infecção pode ser adquirida — isso pode ser quando o download de um arquivo ou simplesmente clicando em um script.
- Os Sequestradores de navegador — Eles são baseados em navegador de plugins que são feitos por hackers e são normalmente implantados nos respectivos repositórios. Isso é feito com falsos desenvolvedor credenciais de usuário e comentários. Suas descrições irão incluem promessas de melhorias de desempenho ou a adição de novas funcionalidades.
Como o DarkHydrus Trojan é baseado no código-fonte de uma ameaça a muitos de sua funcionalidade wll ser compartilhado. Durante a instalação de vírus ameaça será definido para ser executado a cada vez que o computador for ligado, o que o torna muito difícil de remover. O outro comando que é executado assim que a infecção tenha ocorrido é o de desvio de segurança de função. Ele fará a varredura da máquina infectada memória e pesquisa instaladas hosts de máquina virtual, ferramentas de depuração ou ambiente de testes que pode ser usada por especialistas em segurança para analisá-lo. O motor será imediatamente desligado-se se ele detecta que tal um aplicativo ou serviço está em execução.
O Trojan irá, em seguida, configurar uma conexão para um hacker, controlada pelo servidor usando expressões regulares. É interessante notar que este é feito através de consultas DNS e consultas personalizadas. A característica marcante deste malware em particular é que ele irá criar um subdomínio para cada infecção. O código de análise revela uma lista de comandos disponíveis:
- ^matar — Este vai indicar o segmento que contém o Trojan para ser morto
- ^$fileDownload — um determinado arquivo é para ser enviado para o hacker, controlada pelo servidor
- ^$importModule — Executa um PowerShell instância e adiciona-o “módulos” lista
- ^$x_mode — Switches em uma alternativa “x_mode” de modo que se muda para uma alternativa de canal de comando
- ^$ClearModules — Autoriza o executado anteriormente “módulos” lista
- ^$fileUpload — Este comando é utilizado para configurar um caminho para que um novo arquivo é para ser carregado.
- ^testmode — Isso é um teste de função que verifica se uma conexão pode ser feita de forma segura para o hacker, controlada pelo servidor
- ^showconfig — Isso irá gerar a configuração atual da infecção do motor
- ^changeConfig — Isso vai desencadear uma alteração de configuração que leva o enviado de parâmetros de entrada e guarda-los na instância local
- ^slp — Este wil configuração do sono e os valores de jitter
- ^sair — Sai o cavalo de Tróia instância
A nova variante da DarkHydrus Trojan foi encontrado para usar o Google Drive como o instrumental repositório para entregar o hacker comandos. Isso é feito através do upload de um arquivo para o predefinidos hacker de conta e verificar constantemente com quaisquer alterações no documento. Qualquer introduzido o comando será executado de acordo com a inserção de campos. Todos os chnages para o documento enviado são considerados como os trabalhos que serão executados nos computadores infectados. Autenticação ao serviço é feito através de comandos especiais que são específicos para o Google Drive esquema. Especial tokens de acesso são recuperados antes que o acesso é dado ao documento.
Uma complexa rede de domínios tem sido revelado, o que mostra que muito trabalho tem sido implementado, a fim de criar o Trojan e sua infra-estrutura. Seu código a análise revela que ele é capaz de realizar danos aos sistemas e roubar dados confidenciais. Isso é feito através de um script que utiliza as informações coletadas para gerar um ID de máquina. Existem duas categorias de informações que geralmente são considerados:
- Informações pessoais — O motor de pesquisa de cadeias de caracteres que podem expor diretamente a identidade da vítima usuários. O cavalo de Tróia pode ser indicado não só para procurar na memória, mas também o conteúdo do disco rígido, dispositivos amovíveis e de rede disponível ações. Dados de interesse incluem o seu nome, endereço, número de telefone, dados de localização e de qualquer armazenados credenciais de conta. As informações coletadas podem ser usadas para a realização de crimes, tais como roubo de identidade e abuso financeiro.
- Informações da máquina — O cavalo de Tróia pode gerar um relatório sobre os componentes de hardware e configurações do sistema. A extensa de dados é útil para determinar que tipo de computadores estão infectados. A informação estatística é útil quando a concepção de atualizações para o cavalo de Tróia.
Há vários usos para o cavalo de Tróia que pode ser muito mais do que a simples ultrapassagem dos computadores infectados. A utilização de infra-estruturas complexas e o complexo de desvio de segurança medidas tomadas no início do processo de infecção de rotina mostra que o destino as vítimas são, provavelmente, empresas ou agências do governo. É muito provável que futuras versões poderão adicionar mais recente funcionalidade e melhorar a já habilitado. O uso do Google Drive infra-estrutura, é difícil para qualquer administradores de rede para notar uma infecção Trojan clientes são esperados para contato incomum hacker servidores controlados.
O roubo de dados capacidade de dá analistas de segurança razões para acreditar que esta pode ser uma arma para fins de sabotagem. O motor pode coletar uma grande quantidade de informações através de ambas as categorias de informação, potencialmente aceder a unidades de rede. No caso onde há um ataque coordenado contra uma determinada empresa, esta poderia ser uma arma muito poderosa.
Realizada a análise de código mostra que o Trojan é capaz de acessar e modificar uma ampla gama de dados do sistema:
- Windows Registro — Modificações para o Windows Registro pode comprometer tanto os valores que são usados pelo sistema operacional e todos os aplicativos de terceiros. Isto pode levar a sérios problemas de desempenho e a incapacidade de aceder a alguns serviços ou funções que são normalmente utilizados pelos usuários finais. Modificações entradas pertencentes a quaisquer aplicativos de terceiros pode levar a erros inesperados.
- Opções de inicialização — Isso é feito para definir o Trojan iniciar automaticamente quando o computador é ligado. Certas ações podem desabilitar o acesso ao recovery menu de inicialização e configurações, o que torna impossível usar a maior parte do manual de recuperação de guias.
- Dados do sistema de — O motor pode ser usado para busca de identidade e quaisquer cópias de segurança, pontos de restauração do Sistema e outros arquivos que são usados durante a recuperação.
Dado o fato de que o DarkHydrus Trojan apresenta um complexo de ameaça, que pode ser lançada ao nível da empresa e as agências de governo em qualquer dado momento, uma vez que o comando é dado quaisquer infecções existentes devem ser identificadas e removidas o mais rápido possível. Atualizações futuras podem transformá-lo em uma arma mais poderosa.
Se o seu sistema foi infectado com o DarkHydrus Trojan Trojan, você deve ter um pouco de experiência na remoção de malware. Você deve se livrar deste Trojan, tão rapidamente quanto possível antes de ter a chance de espalhar mais e infectar outros computadores. Você deve remover o cavalo de Tróia e siga o passo-a-passo guia para instruções fornecidas abaixo.
Atenção, vários scanners antivírus detectaram possível malware em DarkHydrus Trojan.
| Software anti-vírus | Versão | Deteção |
|---|---|---|
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
Comportamento de DarkHydrus Trojan
- Retarda a conexão com a internet
- Integra no navegador da web através da extensão do navegador de DarkHydrus Trojan
- Programas de segurança falsos alertas, pop-ups e anúncios.
- Instala-se sem permissões
- DarkHydrus Trojan desativa o Software de segurança instalado.
- Rouba ou usa seus dados confidenciais
- Comportamento comum de DarkHydrus Trojan e alguns outra texto emplaining som informação relacionados ao comportamento
- Redirecione o navegador para páginas infectadas.
- DarkHydrus Trojan mostra anúncios comerciais
- Distribui-se por meio de pay-per-install ou é empacotado com software de terceiros.
DarkHydrus Trojan efetuado versões de sistema operacional Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia de DarkHydrus Trojan
Eliminar DarkHydrus Trojan do Windows
Exclua DarkHydrus Trojan de Windows XP:
- Clique em Iniciar para abrir o menu.
- Selecione Painel de controle e vá para Adicionar ou remover programas.
- Escolher e remover o programa indesejado.
Remover DarkHydrus Trojan do seu Windows 7 e Vista:
- Abra o menu Iniciar e selecione Painel de controle.
- Mover para desinstalar um programa
- Botão direito do mouse sobre o app indesejado e escolha desinstalar.
Apagar DarkHydrus Trojan de Windows 8 e 8.1:
- Botão direito do mouse sobre o canto inferior esquerdo e selecione Painel de controle.
- Escolha desinstalar um programa e com o botão direito sobre o app indesejado.
- Clique em desinstalar .
Excluir DarkHydrus Trojan de seus navegadores
DarkHydrus Trojan Remoção de Internet Explorer
- Clique no ícone de engrenagem e selecione Opções da Internet.
- Vá para a aba avançado e clique em Redefinir.
- Verifique excluir configurações pessoais e clique em Redefinir novamente.
- Clique em fechar e selecione Okey.
- Voltar para o ícone de engrenagem, escolha Gerenciar Complementos → barras de ferramentas e extensõese delete indesejados extensões.
- Vá para Provedores de pesquisa e escolher um novo padrão de pesquisa
Apagar DarkHydrus Trojan da Mozilla Firefox
- Digite "about:addons" no campo de URL .
- Vá para extensões e excluir extensões do navegador suspeito
- Clique sobre o menu, clique no ponto de interrogação e abrir a ajuda do Firefox. Clique sobre o botão Firefox actualizar e selecione Atualizar Firefox para confirmar.
Encerrar DarkHydrus Trojan de Chrome
- Digite "chrome://extensions" no campo URL e toque em Enter.
- Encerrar o navegador confiável extensões
- Google Chrome reiniciar .
- Abra o menu Chrome, clique em configurações → Show advanced settings, selecione Redefinir as configurações do navegador e clique em redefinir (opcional).