Die DarkHydrus Trojan ist eine gefährliche Waffe gegen die computer-Nutzer weltweit. Es infiziert sich hauptsächlich über infizierte Dokumente. Unser Artikel gibt einen überblick über sein Verhalten entsprechend der gesammelten Proben und Berichte verfügbar, auch kann es hilfreich sein, zu versuchen, den virus zu entfernen.
Die DarkHydrus Trojan ist benannt nach dem Straf-Kollektiv dahinter. Dessen code basiert auf einer älteren Probe, bekannt als die RogueRobin Trojan. Die erkannten Angriff-Kampagne bietet mehrere verschiedene Versionen von infizierten Dokumenten, insbesondere Excel-Dokumente mit der .xlsm Erweiterung. Wenn Sie geöffnet werden, eine Sicherheits-Warnmeldung wird angezeigt, zu Fragen, die Benutzer zu ermöglichen, die eingebauten Inhalte. Die Analyse der Dokumente zeigt, dass die erworbenen Proben wurden im Dezember 2018 und im Januar 2019. Es ist sehr möglich, dass andere Formate sind auch für den gleichen Zweck eingesetzt: Datenbanken, Tabellen und text-Dokumente. Sobald die Skripte ausgeführt werden dürfen, lösen Sie ein PowerShell-Skript führen wird, dass der |die Trojaner-installation. Änderungen zu wichtigen system-Daten einstellen, dass es automatisch startet, wenn der computer gestartet wird.
Während dieser Kampagne verwendet derzeit Dokumente, die als Haupt-Nutzlast Lieferung-Gerät es gibt andere Methoden, betrachtet werden können, die von den Hackern. Einige von Ihnen gehören die folgenden:
- Infizierte Software, die Installateure — Eine ähnliche Strategie einbetten, die Trojan Lieferung code in den setup-Dateien von populären Anwendungen, die Häufig heruntergeladen werden, die von Endanwendern. Beispiel Programme sind system-utilities, Kreativität, Suiten, Optimierungs-tools und Produktivität-apps. Wenn die Dateien ausgeführt werden, die DarkHydrus Trojan bereitgestellt werden.
- E-Mail-Phishing-Nachrichten — Traditionelle ransomware Lieferung erfolgt durch versenden von Nachrichten, imitieren legitime Benachrichtigungen über E-Mails. Sie werden oft imitieren bekannte Unternehmen, Produkte und Dienstleistungen, die durch das kopieren Ihrer Körper, layout und text. Sobald das Opfer die Interaktion mit der schädlichen Elementen oder der Datei-Anhang der Infektion begonnen werden.
- Bösartige Websites — Zu machen-Infektionen häufiger die Hacker Modell gefälschte Websites, die als legitime landing-pages, software-Anbieter, download-Portale und etc. Wenn die Opfer interagiert mit jedem der Elemente, die DarkHydrus Trojan Infektion erworben werden — dies kann sein, wenn Sie eine Datei herunterladen oder einfach auf eine script.
- Browser-Hijacker — Sie sind browser-basierte plugins, die sind gemacht von den Hackern und sind in der Regel eingesetzt, die auf den jeweiligen repositories. Dies geschieht mit gefälschten Entwickler Anmeldeinformationen und user-Bewertungen. Ihre Beschreibungen gehören verspricht Leistungsverbesserungen oder die Einführung neuer Funktionen.
Als die DarkHydrus Trojan basiert auf dem Quellcode einer früheren Bedrohung viele seiner Funktionalität wll geteilt werden. Während der virus-installation die Bedrohung wird ausgeführt, jedes mal, wenn der computer eingeschaltet ist, das macht es sehr schwer zu entfernen. Den anderen Befehl, der ausgeführt wird, sobald die Infektion stattgefunden hat, ist die Umgehung der Sicherheit-Funktion. Es scannt den infizierten Rechner, Speicher und suchen Sie für jede installierte virtuelle Maschine hostet, debug-tools oder sandbox-Umgebung, die verwendet werden können, durch security-Spezialisten analysieren. Der Motor wird sofort schaltet sich ab, wenn es erkennt, dass eine solche Anwendung oder Dienst ausgeführt wird.
Der Trojaner wird dann der Aufbau einer Verbindung zum hacker-server gesteuert mithilfe von regulären Ausdrücken. Seine interessant festzustellen, dass dies geschieht mittels DNS-Abfragen und benutzerdefinierte Abfragen. Die Besonderheit dieser Besondere malware ist, dass es baut eine subdomain für jede einzelne Infektion. Die code-Analyse zeigt eine Liste der verfügbaren Befehle:
- ^kill — Dieser wird Sie anweisen, die Threads mit den Trojaner gekillt zu werden
- ^$Dateidownload — Die angegebene Datei ist für den Upload auf den hacker-server gesteuert
- ^$importModule — Wird eine PowerShell-Instanz und fügt Sie zu “Module” – Liste
- ^$x_mode — Schaltet auf eine alternative “x_mode” – Modus die Umschaltung auf eine alternative command-channel
- ^$ClearModules — Löscht die zuvor “Module” – Liste
- ^$fileUpload — Dieser Befehl wird verwendet, um den setup-Pfad auf die neue Datei ist hochgeladen zu werden.
- ^testmode — Das läuft eine test-Funktion, die prüft, ob eine Verbindung sicher hergestellt, um die hacker-server gesteuert
- ^showconfig — damit schaffen wir die aktuelle Konfiguration der Infektion Motor
- ^changeConfig — Dies löst eine änderung der Konfiguration, die die gesendeten Eingabe-Parameter und speichert Sie auf der lokalen Instanz
- ^slp — Das wil setup der sleep-und jitter-Werte
- ^Ausfahrt — Beendet die Instanz Trojan
Die neue Variante der DarkHydrus Trojan gefunden wurde, um Google Drive zu verwenden, da die instrumental-repository zu liefern, die hacker-Befehle. Dies geschieht durch das hochladen einer Datei auf die vordefinierte hacker-Konto, und ständig überprüfen, um änderungen auf dem Dokument. Jeder eingegebene Befehl wird ausgeführt, entsprechend der eingegebenen Felder. Alle chnages zu dem hochgeladenen Dokument sind als jobs, die ausgeführt werden auf dem infizierten Computer. Authentifizierung für den Dienst erfolgt über spezielle Befehle, die speziell für die Google Drive-Schema. Spezielle access-Token abgerufen werden, bevor Sie Zugriff auf das Dokument.
Ein Komplexes Netzwerk von Domänen wurde gezeigt, welche zeigt, dass noch viel Arbeit implementiert wurde, um die Trojaner und Ihre Infrastruktur. Seine code-Analyse zeigt, dass es fähig ist, die Durchführung von Schäden an den Anlagen und die Kontrolle sensibler Daten. Dies geschieht über ein spezielles Skript, dass verwendet die gesammelten Informationen zu generieren, die eine eindeutige Rechner-ID. Es gibt zwei Kategorien von Informationen sind in der Regel als:
- Persönliche Informationen — Die Suchmaschine sucht nach Zeichenketten, die direkt aussetzen, die Identität der Opfer Benutzer. Der Trojaner kann angewiesen werden, nicht nur um die Suche in der Erinnerung, aber auch den Inhalt der Festplatte, entfernbare Geräte und verfügbaren Netzwerk-shares. Interessante Daten beinhaltet deren Namen, die Anschrift, die Telefonnummer, den Standort-Daten und alle gespeicherten Anmeldeinformationen. Die gesammelten Informationen können verwendet werden, zur Durchführung von Verbrechen wie Identitätsdiebstahl und finanziellen Missbrauch.
- Informationen über die Maschine — Die Trojaner können einen Bericht generieren, der die installierten hardware-Komponenten und system-Einstellungen. Die umfangreichen Daten ist nützlich, um zu bestimmen, welche Art von Computern sind infiziert. Die statistische information ist nützlich bei der Gestaltung updates für den Trojan.
Es gibt verschiedene Anwendungen für die Trojaner, die kann viel mehr sein als das einfache überholen des infizierten Computer. Die Verwendung der komplexen Infrastruktur und der komplexen security-bypass-Schritte, die zu Anfang der Infektion routine zeigt, dass das Ziel-die Opfer sind vermutlich Unternehmen oder Behörden. Es ist sehr wahrscheinlich, dass zukünftige Versionen in neuere Funktionen und verbessern die bereits aktiviert sind, diejenigen. Die Nutzung der Google Drive-Infrastruktur machen es schwieriger, für alle Netzwerk-Administratoren, um zu bemerken, eine Infektion, wie Trojan Kunden erwartet, dass Sie Kontakt ungewöhnlichen hacker-kontrollierten Servern.
Die Daten, die Diebstahl-Fähigkeit gibt Sicherheitsexperten Gründe zu glauben, dass dies möglicherweise eine Waffe für sabotage-Zwecke. Der Motor kann sammeln eine große Menge an Informationen über die beiden Kategorien von Informationen, die potentiell Zugriff auf Netzwerk-Laufwerke. In dem Fall, wo es einen koordinierten Angriff gegen eine bestimmte enterprise-das könnte eine sehr mächtige Waffe.
Die durchgeführten code-Analyse zeigt, dass der Trojaner ist in der Lage den Zugriff auf und ändern von einer breiten Palette von system-Daten:
- Windows Registrierung — Änderungen an der Windows Registrierung beeinträchtigen können sowohl die Werte, die verwendet werden, indem das Betriebssystem und alle apps von Drittanbietern. Dies kann dazu führen, ernsthafte performance-Probleme und die Unfähigkeit, den Zugriff auf bestimmte Dienste oder Funktionen, die normalerweise von den Endnutzern benutzt werden. Änderungen der Einträge gehören zu einem third-party-Anwendungen können führen zu unerwarteten Fehlern.
- Boot-Optionen — Dies ist getan, um den Trojaner automatisch zu starten, sobald der computer eingeschaltet ist. Bestimmte Aktionen können deaktivieren Sie den Zugriff auf die recovery-boot-Menü und Einstellungen, die es unmöglich macht, nutzen die meisten die manuelle recovery-guides.
- System Daten — Der Motor kann verwendet werden, um die Suche und die Identität backups, Systemwiederherstellungspunkte und andere Dateien, die verwendet werden, während der Wiederherstellung.
Angesichts der Tatsache, dass die DarkHydrus Trojan stellt eine komplexe Bedrohung, die eingeleitet werden können, an Unternehmen und Behörden, zu jeder Zeit, sobald der Befehl gegeben, alle vorhandenen Infektionen zu identifizieren und so schnell wie möglich entfernt werden. Zukünftige updates können verwandeln es in eine noch mächtigere Waffe.
Wenn Ihr computer-system infiziert wurde mit dem DarkHydrus Trojan Trojan zu entfernen, sollten Sie ein wenig Erfahrung im entfernen von malware. Sie sollten loszuwerden, diese Trojan so schnell wie möglich, bevor Sie die chance haben, weiter zu verbreiten und infizieren andere Computer. Sie sollten entfernen Trojan und Folgen Sie den Schritt-für-Schritt-Anweisungen, die Führer unten bereitgestellt.
Achtung, mehrere Anti-Viren-Scanner möglich Malware in DarkHydrus Trojan gefunden.
| Antiviren-Software | Version | Erkennung |
|---|---|---|
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
Verhalten von DarkHydrus Trojan
- Zeigt gefälschte Sicherheitswarnungen, Popups und anzeigen.
- Integriert in den Webbrowser über die Browser-Erweiterung für DarkHydrus Trojan
- Ändert die Desktop- und Browser-Einstellungen.
- Vertreibt selbst durch Pay-pro-Installation oder mit Drittanbieter-Software gebündelt.
- Leiten Sie Ihren Browser auf infizierten Seiten.
- DarkHydrus Trojan verbindet mit dem Internet ohne Ihre Erlaubnis
DarkHydrus Trojan erfolgt Windows-Betriebssystemversionen
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
DarkHydrus Trojan-Geographie
Zu beseitigen DarkHydrus Trojan von Windows
Löschen Sie DarkHydrus Trojan aus Windows XP:
- Klicken Sie auf Start , um das Menü zu öffnen.
- Wählen Sie Systemsteuerung und gehen Sie auf Software hinzufügen oder entfernen.
- Wählen und das unerwünschte Programm zu entfernen .
Entfernen DarkHydrus Trojan aus Ihren Windows 7 und Vista:
- Öffnen Sie im Startmenü , und wählen Sie Systemsteuerung.
- Verschieben Sie auf Programm deinstallieren
- Mit der rechten Maustaste auf die unerwünschten app und wählen deinstallieren.
Löschen DarkHydrus Trojan aus Windows 8 und 8.1:
- Mit der rechten Maustaste auf die linke untere Ecke und wählen Sie Systemsteuerung.
- Wählen Sie Programm deinstallieren und mit der rechten Maustaste auf die unerwünschten app.
- Klicken Sie auf deinstallieren .
DarkHydrus Trojan aus Ihrem Browser löschen
DarkHydrus Trojan Entfernung von Internet Explorer
- Klicken Sie auf das Zahnradsymbol und wählen Sie Internetoptionen.
- Gehen Sie auf die Registerkarte erweitert , und klicken Sie auf Zurücksetzen.
- Überprüfen Sie die persönliche Einstellungen löschen und erneut auf Zurücksetzen .
- Klicken Sie auf Schließen , und klicken Sie auf OK.
- Gehen Sie zurück auf das Zahnrad-Symbol, wählen Sie Add-ons verwalten → Symbolleisten und Erweiterungenund Delete, die unerwünschte Erweiterungen.
- Gehen Sie auf Suchanbieter und wählen Sie eine neue Standard- Suchmaschine
Löschen Sie DarkHydrus Trojan von Mozilla Firefox
- Geben Sie im URL -Feld "about:addons".
- Gehen Sie zu Extensions und löschen Sie verdächtige Browser-Erweiterungen
- Klicken Sie auf das Menü, klicken Sie auf das Fragezeichen und öffnen Sie Firefox Hilfezu. Klicken Sie auf die Schaltfläche Firefox aktualisieren , und wählen Sie Aktualisieren Firefox zu bestätigen.
Beenden Sie DarkHydrus Trojan von Chrome
- Geben Sie "chrome://extensions" in das URL -Feld und tippen Sie auf die EINGABETASTE.
- Beenden von unzuverlässigen Browser- Erweiterungen
- Starten Sie Google Chrome.
- Öffnen Sie Chrome-Menü zu, klicken Sie Einstellungen → Erweiterte anzeigen Einstellungen wählen Sie Reset Browser-Einstellungen und klicken Sie auf Zurücksetzen (optional).