El DarkHydrus Trojan es un arma peligrosa utilizado en contra de los usuarios de computadoras en todo el mundo. Infecta principalmente a través de los documentos infectados. Nuestro artículo se da una visión general de su comportamiento de acuerdo a la recogida de muestras y los informes disponibles, también puede ser útil en el intento de eliminar el virus.
El DarkHydrus Trojan es nombrado después de que el criminal colectiva detrás de él. Su código está basado en una muestra más antigua conocida como la RogueRobin de Troya. El ataque detectado campaña cuenta con varias versiones distintas de los documentos infectados, específicamente documentos de Excel con el .xlsm extensión. Cuando se abre una Advertencia de Seguridad del sistema se muestra pidiendo a los usuarios activar la incorporada en el contenido. El análisis de este documento muestra que la adquisición de las muestras se hizo en diciembre de 2018, y de enero de 2019. Es muy posible que otros formatos también son utilizados para el mismo propósito: bases de datos, hojas de cálculo y documentos de texto. Tan pronto como las secuencias de comandos se pueden ejecutar se activará una secuencia de comandos de PowerShell que conducirá a la |Trojan instalación. Modificaciones a los datos clave del sistema se establece para que se inicie automáticamente cuando se inicia el equipo.
Mientras que esta campaña utiliza en la actualidad los documentos como la principal carga de la entrega del dispositivo existen otros métodos que pueden ser considerados por los hackers. Algunas de ellas son las siguientes:
- Infectados Instaladores de Software — Una estrategia similar es la de insertar el Troyano de entrega de código en archivos de instalación de las aplicaciones más populares que con frecuencia son descargados por los usuarios finales. Programas de ejemplo se incluyen las utilidades del sistema, la creatividad suites, herramientas de optimización y aplicaciones de productividad. Cuando los archivos se ejecute el DarkHydrus Trojan será implementado.
- Correo electrónico de Mensajes de Phishing — Tradicional ransomware la entrega se realiza mediante el envío de mensajes que imitar legítimos de las notificaciones enviadas a través de correos electrónicos. Ellos a menudo suplantar a las compañías bien conocidas, productos y servicios mediante la copia de su cuerpo, el diseño y los textos. Tan pronto como las víctimas interactuar con cualquiera de los elementos maliciosos o el archivo adjunto de la infección se inicia.
- Sitios maliciosos — Para hacer que las infecciones más frecuentes que los hackers puedan modelo de sitios falsos que se hacen pasar por legítimo páginas de aterrizaje, proveedor de software de sitios, portales de descarga y etc. Cuando las víctimas interactúa con cualquiera de los elementos de la DarkHydrus Trojan la infección se adquirió — esto puede ser cuando la descarga de un archivo o simplemente haciendo clic en un guión.
- Los Secuestradores de navegador — Que está basado en el navegador plugins que son hechos por los hackers y son generalmente implementadas en los respectivos repositorios. Esto se hace con falsas credenciales de desarrollador y comentarios de los usuarios. Sus descripciones se incluyen promesas de mejoras en el rendimiento o la adición de nueva funcionalidad.
Como el DarkHydrus Trojan se basa en el código fuente de una versión anterior de la amenaza de muchas de sus funcionalidades wll ser compartida. Durante la instalación de virus de la amenaza va a ser configurado para ejecutarse cada vez que el ordenador está encendido que hace que sea muy difícil de eliminar. El otro comando que se ejecuta tan pronto como la infección ha tenido lugar es la seguridad de la función de bypass. Se explorará la máquina infectada, la memoria y la búsqueda de cualquier instalada hosts de máquina virtual, herramientas de depuración o entorno de recinto de seguridad que pueden ser utilizados por los especialistas en seguridad para analizar. El motor inmediatamente de apagarse automáticamente si se detecta que una aplicación o servicio se está ejecutando.
El Troyano, a continuación, configurar una conexión a un hacker controlado servidor utilizando expresiones regulares. Es interesante observar que este se realiza a través de consultas DNS y consultas personalizadas. La característica distintiva de este malware en particular es que se va a construir un subdominio para cada individuo de la infección. El análisis de código, se muestra una lista de los comandos disponibles:
- ^matar — Esto indicará el hilo que contiene el Troyano a ser asesinados
- ^$fileDownload — El archivo es para ser subido a la hacker-controlado servidor
- ^$importModule — se Ejecuta un PowerShell instancia y se agrega a los “módulos” de la lista de
- ^$x_mode — los Interruptores en una alternativa “x_mode” de modo que cambia a otro canal de comandos
- ^$ClearModules — Borra la ejecución anterior de “módulos” de la lista de
- ^$fileUpload — Este comando se utiliza para configurar una ruta de acceso para que un nuevo archivo a ser cargado.
- ^testmode — Esto se ejecuta una función de prueba que comprueba si la conexión puede estar bien hecho para que el hacker-controlado servidor
- ^showconfig — Esto va a generar la configuración actual de la infección por el motor
- ^changeConfig — Esto va a desencadenar un cambio de configuración que tarda el envió de los parámetros de entrada y los guarda en la instancia local
- ^slp — Este wil configurar el sueño y la fluctuación de los valores de
- ^la salida — Sale de la instancia de Troya
La nueva variante de la DarkHydrus Trojan se ha encontrado que el uso de Google Drive como el instrumental repositorio para entregar el hacker comandos. Esto se hace mediante la carga de un archivo a la predefinidos hacker de la cuenta y la verificación constante de los cambios en el documento. Cualquier entró comando será ejecutado de acuerdo a los campos de introducción. Todos chnages a los documentos subidos son considerados como los trabajos que se ejecutan en los ordenadores infectados. La autenticación en el servicio se realiza a través de comandos especiales que son específicos para el Google Drive esquema. Especial tokens de acceso se recupera antes de que se otorga el acceso al documento.
Una compleja red de dominios ha sido revelado que muestra que gran parte del trabajo ha sido implementado con el fin de crear el Troyano y su infraestructura. Su código de análisis revela que es capaz de llevar a cabo de daño a los sistemas y apropiarse de datos confidenciales. Esto se hace a través de un script especial que utiliza la información recolectada para generar un único ID de máquina. Hay dos categorías de información que se considera generalmente como:
- Información Personal — El motor de búsqueda de cadenas de caracteres que pueden exponer directamente la identidad de la víctima a los usuarios. El Troyano puede ser indicado no sólo para la búsqueda de la memoria, pero también el contenido del disco duro, dispositivos extraíbles y disposición de recursos compartidos de red. Datos de interés incluye su nombre, dirección, número de teléfono, datos de ubicación y cualquier almacena las credenciales de la cuenta. La información recopilada puede ser utilizada para llevar a cabo delitos tales como el robo de identidad y el abuso financiero.
- La Información de la máquina — El Troyano puede generar un reporte de la instalación de componentes de hardware y la configuración del sistema. La extensa cantidad de datos es útil para determinar qué tipo de ordenadores están infectados. La información estadística es útil a la hora de diseñar las actualizaciones para el Troyano.
Hay varios usos para el Troyano que puede ser mucho más que la simple superará a la de los ordenadores infectados. El uso de la compleja infraestructura y el complejo de seguridad de eludir las medidas adoptadas en el inicio de la infección rutina muestra que el destino de las víctimas son, probablemente, las empresas o agencias de gobierno. Es muy probable que todas las futuras versiones pueden agregar en nuevas funcionalidades y mejorar los ya habilitados. El uso de Google Drive, la infraestructura puede hacer más difícil para cualquier administradores de red para que se observe una infección como Trojan se espera que los clientes en contacto con inusual hacker servidores controlados.
El robo de datos de capacidad le da a los analistas de seguridad razones para creer que esto puede ser un arma para sabotear a los efectos. El motor se puede recoger una gran cantidad de información a través de ambas categorías de información, potencialmente el acceso a unidades de red. En el caso de que hay un ataque coordinado contra de una determinada empresa, esto podría ser un arma muy poderosa.
Realiza el análisis de código se muestra que el Troyano es capaz de acceder y modificar una amplia gama de datos del sistema:
- Windows Registro — las Modificaciones a la Windows Registro puede comprometer tanto a los valores que son utilizados por el sistema operativo y cualquier aplicación de terceros. Esto puede conducir a serios problemas de rendimiento y la imposibilidad de acceder a algunos servicios o funciones que normalmente son utilizados por los usuarios finales. Modificaciones a las entradas que pertenecen a las aplicaciones de terceros pueden conducir a errores inesperados.
- Opciones de arranque — Esto se hace con el fin de establecer el Troyano se iniciará automáticamente una vez que el ordenador está encendido. Ciertas acciones pueden deshabilitar el acceso a la recuperación de menú de inicio y la configuración que hace imposible el uso de la mayoría de la recuperación manual de guías.
- Sistema de Datos — El motor puede ser utilizado para la búsqueda y la identidad de las copias de seguridad, puntos de restauración del Sistema y otros archivos que se utilizan durante la recuperación.
Dado el hecho de que el DarkHydrus Trojan presenta un complejo amenaza que puede ser lanzado a nivel de las empresas y agencias de gobierno en cualquier momento una vez que el comando es dado a cualquiera de las infecciones existentes deben ser identificados y retirados tan pronto como sea posible. Las futuras actualizaciones puede transformar en un arma más poderosa.
Si el sistema de su ordenador se infectó con el DarkHydrus Trojan Trojan, usted debe tener un poco de experiencia en la eliminación de malware. Usted debe deshacerse de este Trojan tan rápidamente como sea posible antes de que puedan tener la oportunidad de difundir más y infectar a otros ordenadores. Usted debe eliminar el Troyano y siga paso a paso las instrucciones de la guía proporcionada a continuación.
ADVERTENCIA, varios escáneres anti-virus han detectado posible malware en DarkHydrus Trojan.
| El Software antivirus | Versión | Detección |
|---|---|---|
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
Comportamiento de DarkHydrus Trojan
- Anuncios, ventanas emergentes y programas de seguridad falsos alertas.
- Redirigir el navegador a páginas infectadas.
- DarkHydrus Trojan se conecta a internet sin su permiso
- Modifica el escritorio y la configuración del navegador.
- Roba o utiliza sus datos confidenciales
DarkHydrus Trojan efectuado versiones del sistema operativo Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografía de DarkHydrus Trojan
Eliminar DarkHydrus Trojan de Windows
Borrar DarkHydrus Trojan de Windows XP:
- Haz clic en Inicio para abrir el menú.
- Seleccione Panel de Control y vaya a Agregar o quitar programas.
- Seleccionar y eliminar programas no deseados.
Quitar DarkHydrus Trojan de su Windows 7 y Vista:
- Abrir menú de Inicio y seleccione Panel de Control.
- Mover a desinstalar un programa
- Haga clic derecho en la aplicación no deseada y elegir desinstalar.
Erase DarkHydrus Trojan de Windows 8 y 8.1:
- Haga clic en la esquina inferior izquierda y selecciona Panel de Control.
- Seleccione desinstalar un programa y haga clic derecho en la aplicación no deseada.
- Haga clic en desinstalar .
Borrar DarkHydrus Trojan de su navegador
DarkHydrus Trojan Retiro de Internet Explorer
- Haga clic en el icono de engranaje y seleccione Opciones de Internet.
- Ir a la pestaña Opciones avanzadas y haga clic en restablecer.
- Compruebe Eliminar configuración personal y hacer clic en restablecer .
- Haga clic en cerrar y seleccione Aceptar.
- Ir al icono de engranaje, elija Administrar complementos → barras de herramientas y extensionesy eliminar no deseados extensiones.
- Ir a Proveedores de búsqueda y elija un nuevo defecto motor de búsqueda
Borrar DarkHydrus Trojan de Mozilla Firefox
- Introduzca "about:addons" en el campo de URL .
- Ir a extensiones y eliminar extensiones de explorador sospechosos
- Haga clic en el menú, haga clic en el signo de interrogación y abrir la ayuda de Firefox. Haga clic en la actualización botón Firefox y seleccione Actualizar Firefox a confirmar.
Terminar DarkHydrus Trojan de Chrome
- Escriba "chrome://extensions" en el campo URL y pulse Enter.
- Terminar el navegador fiable extensiones
- Reiniciar Google Chrome.
- Abrir menú Chrome, haga clic en ajustes → Mostrar avanzada, seleccione restablecer configuración del explorador y haga clic en restaurar (opcional).