Le DarkHydrus Trojan est une dangereuse arme utilisée contre les utilisateurs d’ordinateurs à travers le monde. Il infecte principalement par le biais de documents infectés. Notre article donne un aperçu de son comportement en fonction de la collecte d’échantillons et les rapports disponibles, il peut également être utile pour tenter de supprimer le virus.
Le DarkHydrus Trojan est nommé d’après le criminel collective derrière elle. Son code est basé sur un ancien exemple connu comme le RogueRobin de Troie. L’attaque détectée campagne dispose de plusieurs versions distinctes de documents infectés, plus particulièrement Excel documents avec le .xlsm extension. Lorsqu’ils sont ouverts de Sécurité d’un message d’Avertissement sera affiché demandant à l’utilisateur d’activer le contenu intégré. L’analyse du document montre que les acquis des échantillons ont été effectuées en décembre 2018 et janvier 2019. Il est très possible que d’autres formats sont également utilisés dans le même but: bases de données, feuilles de calcul et des documents de texte. Dès que les scripts sont autorisés à exécuter ils vont déclencher un script PowerShell qui va conduire à l’ |cheval de Troie de l’installation. Des Modifications pour le système de clé de données permettra de le configurer pour démarrer automatiquement lorsque l’ordinateur est démarré.
Bien que cette campagne utilise actuellement des documents comme la principale charge de la livraison de l’appareil il y a d’autres méthodes qui peuvent être considérés par les pirates. Certains d’entre eux sont les suivants:
- Logiciel infecté Installateurs — Une stratégie similaire est d’intégrer le cheval de Troie de livraison de code dans les fichiers d’installation des applications populaires qui sont les plus fréquemment téléchargées par les utilisateurs finaux. Exemple de programmes comprennent des utilitaires système, de créativité, de suites, de l’optimisation des outils et des applications de productivité. Lorsque les fichiers sont exécutés le DarkHydrus Trojan sera déployé.
- E-mail les Messages de Phishing — Traditionnel ransomware livraison est faite par l’envoi de messages d’imiter légitimes des notifications envoyées par e-mail. Ils se font passer pour des sociétés bien connues, des produits et des services en copiant le corps de leur mise en page et le texte. Dès que les victimes d’interagir avec les éléments malveillants ou le fichier en pièce jointe l’infection sera commencé.
- Sites malveillants — Pour faire les infections les plus répandues des pirates peuvent modèle de faux sites qui se font passer pour légitimes des pages d’atterrissage, un fournisseur de logiciels de sites, portails de téléchargement et etc. Chaque fois que les victimes interagit avec l’un quelconque des éléments le DarkHydrus Trojan infection sera acquis — ce peut être lorsque le téléchargement d’un fichier ou en cliquant simplement sur un script.
- Les Pirates de navigateur — Ils sont à base de navigateur plugins, qui sont faites par les pirates et sont généralement déployés sur les différents référentiels. Ceci est fait avec de fausses informations d’identification de développeur et commentaires des utilisateurs. Leurs descriptions de comprendre des promesses d’amélioration des performances ou de l’ajout de nouvelles fonctionnalités.
Comme le DarkHydrus Trojan est basé sur le code source d’une ancienne menace de nombreux de ses fonctionnalités wll être partagé. Lors de l’installation de virus de la menace sera défini pour s’exécuter chaque fois que l’ordinateur est sous tension, ce qui rend très difficile à enlever. L’autre commande qui est exécutée dès que l’infection a eu lieu est le contournement de la sécurité fonction. Il va scanner la machine infectée et la mémoire de recherche pour toute installation de la machine virtuelle hôtes, des outils de débogage ou de l’environnement de test qui peut être utilisé par les spécialistes de la sécurité pour l’analyser. Le moteur va immédiatement s’arrêter lui-même s’il détecte qu’une application ou d’un service est en cours d’exécution.
Le cheval de Troie ensuite configurer une connexion à un hacker serveur contrôlé par l’utilisation d’expressions régulières. Son intéressant de noter que cela se fait via des requêtes DNS et des requêtes personnalisées. La caractéristique distinctive de ce malware particulier, c’est qu’il va créer un sous-domaine pour chaque individu de l’infection. Le code d’analyse révèle une liste des commandes disponibles:
- ^tuer — Cela permettra au fil contenant le cheval de Troie d’être tué
- ^$fileDownload — Le fichier est à télécharger sur le hacker serveur contrôlé par
- ^$importModule — Exécute une PowerShell instance et l’ajoute à la “modules” liste
- ^$x_mode — Commute sur une autre “x_mode” mode, qui passe à un autre canal de commande
- ^$ClearModules — Efface l’exécution précédente de “modules” de la liste
- ^$fileUpload — Cette commande est utilisée pour l’installation d’un chemin d’accès vers lequel un nouveau fichier à télécharger.
- ^testmode — il exécute une fonction de test qui vérifie si une connexion ne peut être bien fait de le hacker serveur contrôlé par
- ^showconfig — Cela va générer la configuration actuelle de l’infection à moteur
- ^changeConfig — Ce sera le déclencheur d’un changement de configuration qui prend la envoyé des paramètres d’entrée et les enregistre sur l’instance locale
- ^slp — Cette wil configuration du sommeil et de la gigue
- ^la sortie — Quitte le cheval de Troie de l’instance
La nouvelle variante de la DarkHydrus Trojan a été trouvé pour utiliser Google Drive comme l’instrumental référentiel de livrer le hacker commandes. Ceci est fait en téléchargeant un fichier prédéfinis hacker compte et constamment à la recherche de modifications sur le document. Toutes les entrées de commande sera exécutée selon les domaines. Tous les chnages pour les documents téléchargés sont considérés comme des travaux qui seront exécutés sur les ordinateurs infectés. L’authentification au service se fait via des commandes spéciales qui sont spécifiques à la Google Drive régime. Spécial des jetons d’accès sont récupérés avant que l’accès est donné dans le document.
Un réseau complexe de domaines a été révélé, ce qui montre que beaucoup de travail a été mis en œuvre afin de créer le cheval de Troie et de ses infrastructures. Son code analyse révèle qu’il est capable de réaliser des dommages aux systèmes et de détourner des données sensibles. Cela se fait via un script spécial qui utilise les informations recueillies pour générer un unique IDENTIFIANT de la machine. Il existe deux catégories de renseignements qui sont habituellement considérés comme:
- Informations personnelles — Le moteur de recherche de chaînes de caractères qui peuvent exposer directement l’identité de la victime utilisateurs. Le cheval de Troie peut être chargé non seulement à la recherche de la mémoire, mais aussi le contenu du disque dur, les périphériques amovibles et disponible partages réseau. Les données d’intérêt comprend leur nom, adresse, numéro de téléphone, les données de localisation et les données d’identification de compte. Les informations collectées peuvent être utilisées pour effectuer des crimes tels que le vol d’identité et l’exploitation financière.
- Les Informations de la Machine — Le cheval de Troie peut générer un rapport de l’installé les composants matériels et les paramètres du système. La grande quantité de données est utile afin de déterminer quels types d’ordinateurs sont infectés. L’information statistique est utile lors de la conception des mises à jour pour le cheval de Troie.
Il y a différentes utilisations du cheval de Troie qui peut être beaucoup plus que la simple dépasser des ordinateurs infectés. L’utilisation de l’infrastructure complexe et le complexe de contournement de sécurité mesures prises dans le début de la routine d’infection montre que la cible victimes sont probablement des sociétés ou des organismes gouvernementaux. Il est très probable que les futures versions susceptible d’ajouter de nouvelles fonctionnalités et d’améliorer la déjà permis. L’utilisation de Google Drive les infrastructures peuvent rendre plus difficile pour tous les administrateurs de réseau, à un préavis d’une infection comme Trojan les clients doivent contacter inhabituelle à l’abri du piratage des serveurs contrôlés.
Le vol de données capacité donne analystes de la sécurité, des raisons de croire que cela peut être une arme pour des fins de sabotage. Le moteur peut recueillir une grande quantité d’informations à travers les deux catégories d’information, potentiellement accès à des lecteurs réseau. Dans le cas où il y a une attaque coordonnée contre une entreprise donnée, cela pourrait être une arme très puissante.
Le code d’analyse montre que le cheval de Troie est capable d’accéder et de modifier un large éventail de données du système:
- Windows Registre — les Modifications à la Windows Registre peut compromettre à la fois les valeurs qui sont utilisées par le système d’exploitation et toutes les applications tierces. Cela peut entraîner de graves problèmes de performances et de l’impossibilité d’accéder à certains services ou fonctions qui sont normalement utilisés par les utilisateurs finaux. Modifications entrées appartenant à toutes les applications tierces peuvent conduire à des erreurs inattendues.
- Les Options de démarrage — Ce qui est fait dans le but de définir le cheval de Troie de démarrer automatiquement une fois que l’ordinateur est sous tension. Certaines actions peuvent désactiver l’accès au recovery menu de démarrage et les paramètres qui rend impossible l’utilisation de la plupart de la récupération manuelle des guides.
- Les Données du système — Le moteur peut être utilisé pour la recherche et l’identité de toutes les sauvegardes, les points de restauration Système et d’autres fichiers qui sont utilisés lors de la récupération.
Compte tenu du fait que la DarkHydrus Trojan présente une menace complexe qui peut être lancée au niveau de l’entreprise et des organismes gouvernementaux à tout moment une fois que la commande est donné toutes les infections existantes doivent être identifiés et éliminés aussi rapidement que possible. Les futures mises à jour de la transformer en une plus puissante arme.
Si votre ordinateur a été infecté par le DarkHydrus Trojan cheval de Troie, vous devriez avoir un peu d’expérience dans la suppression des logiciels malveillants. Vous devriez vous débarrasser de ce cheval de Troie le plus rapidement possible avant qu’il puisse avoir la chance de se propager plus loin et infecter d’autres ordinateurs. Vous devez supprimer le cheval de Troie et suivez étape par étape les instructions dans le guide ci-dessous.
Attention, plusieurs analyseurs antivirus ont détecté malware possible dans DarkHydrus Trojan.
| Un logiciel anti-virus | Version | Détection |
|---|---|---|
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Comportement de DarkHydrus Trojan
- Se distribue par le biais de pay-per-install ou est livré avec des logiciels tiers.
- DarkHydrus Trojan montre des annonces commerciales
- Comportement commun de DarkHydrus Trojan et quelques autre emplaining som info texte lié au comportement
- S'intègre dans le navigateur web par l'intermédiaire de l'extension de navigateur de DarkHydrus Trojan
- Change la page d'accueil de l'utilisateur
- Spectacles fausses alertes de sécurité, des pop-ups et des annonces.
- Ralentit la connexion internet
DarkHydrus Trojan a effectué les versions de système d'exploitation Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Géographie de DarkHydrus Trojan
Éliminer DarkHydrus Trojan de Windows
Supprimer DarkHydrus Trojan de Windows XP :
- Cliquez sur Démarrer pour ouvrir le menu.
- Sélectionnez le Panneau de commande et accédez à Ajout / suppression de programmes.
- Sélectionnez et supprimez le programme indésirable.
Retirer DarkHydrus Trojan de votre Windows 7 et Vista :
- Ouvrez le menu Démarrer et sélectionnez Panneau de configuration.
- Se déplacer à désinstaller un programme
- Faites un clic droit sur l'app indésirable et choisissez désinstaller.
Effacer DarkHydrus Trojan de Windows 8 et 8.1 :
- Faites un clic droit sur le coin inférieur gauche et sélectionnez Panneau de configuration.
- Choisir de désinstaller un programme et faites un clic droit sur l'application non désirée.
- Cliquez sur désinstaller .
Delete DarkHydrus Trojan depuis votre navigateur
DarkHydrus Trojan Suppression de Internet Explorer
- Cliquez sur l' icône d'engrenage et sélectionnez Options Internet.
- Allez dans l'onglet avancé , puis cliquez sur Réinitialiser.
- Vérifiez Supprimer les paramètres personnels et cliquez de nouveau sur Réinitialiser .
- Cliquez sur Fermer et cliquez sur OK.
- Revenir à l' icône d'engrenage, choisissez gérer Add-ons → barres d'outils et Extensionset supprimer les indésirables des extensions.
- Allez dans Les moteurs de recherche et choisissez un nouveau moteur de recherche de défaut
Effacer DarkHydrus Trojan de Mozilla Firefox
- Tapez "about:addons" dans le champ URL .
- Allez aux Extensions et supprimer les extensions du navigateur suspectes
- Cliquez sur le menu, cliquez sur point d'interrogation et ouvrez l'aide de Firefox. Cliquez sur rafraîchissement Firefox bouton et sélectionnez Actualiser Firefox pour confirmer.
Terminez DarkHydrus Trojan de Chrome
- Tapez "chrome://extensions" dans le champ URL et appuyez sur entrée.
- Résilier les extensions du navigateur peu fiables
- Redémarrez Google Chrome.
- Ouvrez le menu Chrome, cliquez sur paramètres → paramètres de Show advanced, sélectionnez rétablir les paramètres de navigateur et cliquez sur Reset (en option).