Il DarkHydrus Trojan è una pericolosa arma usata contro gli utenti di computer in tutto il mondo. Infetta principalmente attraverso i documenti infetti. Il nostro articolo fornisce una panoramica del suo comportamento secondo i campioni raccolti e rapporti disponibili, inoltre può essere utile nel tentativo di rimuovere il virus.
Il DarkHydrus Trojan è chiamato dopo il criminale collettivo dietro di esso. Il suo codice è basato su un campione più vecchio, conosciuto come il RogueRobin Trojan. Rilevato attacco di campagna dispone di diverse versioni di documenti infetti, in particolare i documenti di Excel con l’ .xlsm estensione. Quando si apre un Avviso di Protezione prompt verrà mostrato chiedendo agli utenti di attivare il built-in di contenuti. L’analisi del documento mostra che i campioni acquisiti sono stati effettuati nel mese di dicembre 2018 e gennaio 2019. È molto possibile che altri formati sono utilizzati per lo stesso scopo: database, fogli di calcolo e documenti di testo. Non appena gli script sono autorizzati a eseguire si attiverà uno script PowerShell che porterà l’ |Trojan installazione. Modifiche al sistema di chiave di dati verrà impostato per l’avvio automatico quando il computer viene avviato.
Questa campagna attualmente utilizza i documenti come il payload principale di consegna del dispositivo ci sono altri metodi che possono essere considerati da parte di hacker. Alcuni di essi includono i seguenti:
- Il Software infetto Installatori — Una strategia simile è quello di incorporare il Trojan consegna codice nel file di installazione di applicazioni popolari che vengono spesso scaricati dagli utenti finali. Programmi di esempio includono utilità di sistema, creatività suite di ottimizzazione di strumenti e applicazioni per la produttività. Quando i file vengono eseguiti i DarkHydrus Trojan verrà distribuito.
- E-mail Messaggi di Phishing — Tradizionale ransomware la consegna viene effettuata tramite l’invio di messaggi che imitano legittimo notifiche inviate via e-mail. Spesso impersonare ben note aziende, prodotti e servizi copiando il loro corpo layout e testo. Non appena le vittime di interagire con qualsiasi di elementi dannosi o il file in allegato l’infezione verrà avviato.
- Siti dannosi — Per rendere le infezioni più diffuse gli hacker modello di falsi siti che effettuano legittimi pagine di destinazione, il fornitore di software di siti, portali di download e etc. Ogni volta che le vittime interagisce con uno degli elementi che il DarkHydrus Trojan infezione acquisita — questo può essere quando il download di un file o semplicemente cliccando su uno script.
- Hijacker del Browser — sono basati su browser plug-in che sono fatti dagli hacker e sono di solito distribuiti nei rispettivi archivi. Questo viene fatto con falsi sviluppatore credenziali e recensioni degli utenti. Le loro descrizioni includono promesse di miglioramenti delle prestazioni o l’aggiunta di nuove funzionalità.
Come DarkHydrus Trojan è basato sul codice sorgente di un precedente minaccia molte delle sue funzionalità wll essere condivisa. Durante l’installazione di virus minaccia verrà impostata per eseguire ogni volta che il computer è acceso, il che rende molto difficile da rimuovere. L’altro comando che viene eseguito non appena l’infezione ha avuto luogo la sicurezza con funzione di bypass. Sarà la scansione del computer infetto memoria e la ricerca di qualsiasi installato virtual host di macchine, strumenti di debug o ambiente sandbox, che può essere utilizzato da specialisti della sicurezza per analizzarlo. Il motore sarà immediatamente arrestato automaticamente se rileva che tale applicazione o servizio è in esecuzione.
Il Trojan quindi impostare una connessione a un hacker controllato server utilizzando le espressioni regolari. Interessante notare che questo è fatto tramite query DNS e query personalizzate. La caratteristica distintiva di questo particolare malware è quella di creare un sottodominio per ogni singola infezione. L’analisi del codice, viene visualizzato un elenco dei comandi disponibili:
- ^uccidere — Questo indicherà al thread contenente il Trojan per essere ucciso
- ^$fileDownload — Il file viene caricato l’hacker controllato server
- ^$importModule — viene Eseguito un PowerShell istanza e lo aggiunge ai “moduli” elenco
- ^$x_mode — accende un’alternativa “x_mode” modalità che passa ad un comando alternativo canale
- ^$ClearModules — Cancella l’esecuzione in precedenza “moduli” elenco
- ^$fileUpload — Questo comando viene utilizzato per la configurazione di un percorso che un nuovo file devono essere caricati.
- ^testmode — Questo esegue un test di funzione che controlla se la connessione può essere fatto in modo sicuro per l’hacker controllato server
- ^showconfig — in Questo modo si genera la configurazione corrente dell’infezione motore
- ^changeConfig — Questo provoca una modifica della configurazione che assume il mandato di parametri di input e li salva su istanza locale
- ^slp — Questo wil installazione il sonno e i valori di jitter
- ^uscita — Esce il Trojan istanza
La nuova variante del DarkHydrus Trojan è stato trovato per utilizzare Google Drive: la strumentale repository di consegnare l’hacker comandi. Questo viene fatto tramite il caricamento di un file predefiniti hacker account e verificare costantemente per eventuali modifiche al documento. Immessi comando verrà eseguito secondo le inserito i campi. Tutti chnages per l’upload del documento sono considerati di lavori che verranno eseguiti sul computer infetti. L’autenticazione al servizio avviene tramite comandi speciali che sono specifici per il Google Drive regime. Speciale token di accesso sono recuperate prima di accedere al documento.
Una complessa rete di domini, è stato rivelato che dimostra che molto lavoro è stato implementato al fine di creare i Trojan e le sue infrastrutture. Il suo codice di analisi rivela che è in grado di svolgere danni ai sistemi e dirottare i dati sensibili. Questo viene fatto tramite un apposito script che utilizza le informazioni raccolte per generare un unico ID della macchina. Ci sono due categorie di informazioni che di solito sono considerate:
- Informazioni personali — Il motore di ricerca per stringhe che possono esporre direttamente l’identità della vittima utenti. Il Trojan può essere richiesto non solo per la ricerca della memoria, ma anche il contenuto dell’hard disk, dispositivi rimovibili e condivisioni di rete disponibili. Dati di interesse includono il loro nome, indirizzo, numero di telefono, dati di posizione e memorizzato le credenziali dell’account. Le informazioni raccolte possono essere utilizzate per compiere reati come il furto di identità e gli abusi finanziari.
- Informazioni di macchina — Il Trojan è in grado di generare un report hardware installato componenti e impostazioni di sistema. La gran parte dei dati è utile per determinare che tipo di computer sono infettati. Le informazioni statistiche sono utili quando si progetta gli aggiornamenti per Trojan.
Ci sono vari usi per il Trojan che può essere molto più di un semplice sorpasso dei computer infetti. L’uso di infrastrutture complesse e il complesso di sicurezza bypass passi compiuti all’inizio dell’infezione routine dimostra che il target vittime sono probabilmente le aziende o agenzie governative. È molto probabile che le versioni future potrebbero aggiungere nuove funzionalità e migliorare la già abilitato. L’uso di Google Drive infrastruttura può rendere più difficile per qualsiasi amministratori di rete per notare una infezione come Trojan, i clienti sono tenuti a contattare insolito hacker server controllati.
Il furto di dati capacità dà sicurezza gli analisti di ragioni per credere che questa può essere un’arma per sabotaggio scopi. L’engine è in grado di raccogliere una grande quantità di informazioni in entrambe le categorie di informazioni, potenzialmente accesso a unità di rete. Nel caso In cui c’è un attacco coordinato contro un’impresa, questo potrebbe essere un arma molto potente.
Eseguita l’analisi del codice indica che il Trojan è in grado di accedere e modificare una vasta gamma di dati di sistema:
- Windows Registro di sistema — Modifiche al Windows Registro di sistema può compromettere sia i valori che vengono utilizzati dal sistema operativo e qualsiasi app di terze parti. Questo può portare a gravi problemi di prestazioni, e l’impossibilità di accedere ad alcuni servizi o funzioni che vengono normalmente utilizzate dagli utenti finali. Modifiche alle voci appartenenti a qualsiasi applicazioni di terze parti può portare a errori imprevisti.
- Opzioni di avvio — Questo è fatto per impostare il Trojan avvia automaticamente una volta che il computer è acceso. Alcune azioni possono disabilitare l’accesso al recovery menu di avvio e impostazioni che rende impossibile l’uso di più di un manuale di recupero di guide.
- I Dati del sistema — Il motore può essere utilizzato per la ricerca e l’identità di eventuali backup, punti di ripristino di Sistema e altri file che vengono utilizzati durante il recupero.
Dato il fatto che il DarkHydrus Trojan presenta un complesso di minaccia che può essere lanciato, imprese e agenzie governative in qualsiasi momento una volta che il comando è dato di eventuali infezioni esistenti devono essere individuate e rimosse il più rapidamente possibile. I futuri aggiornamenti può trasformare in un’arma più potente.
Se il vostro sistema di computer è stato infettato con il DarkHydrus Trojan Trojan, si dovrebbe avere un po ‘ di esperienza nella rimozione di malware. Si dovrebbe sbarazzarsi di questo Trojan il più rapidamente possibile, prima di poter avere la possibilità di diffondersi e infettare altri computer. È necessario rimuovere il cavallo di Troia e di seguire passo-passo le istruzioni di guida fornita di seguito.
Attenzione, più anti-virus scanner hanno rilevato malware possibili in DarkHydrus Trojan.
| Software Anti-Virus | Versione | Rilevazione |
|---|---|---|
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Dr.Web | Adware.Searcher.2467 | |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
Comportamento di DarkHydrus Trojan
- Si integra nel browser web tramite l'estensione del browser di DarkHydrus Trojan
- Ruba o utilizza i vostri dati confidenziali
- DarkHydrus Trojan si connette a internet senza il vostro permesso
- Si distribuisce attraverso pay-per-installare o è in bundle con software di terze parti.
- Modifica le impostazioni Browser e Desktop.
- DarkHydrus Trojan disattiva il Software di sicurezza installati.
- DarkHydrus Trojan spettacoli annunci commerciali
- Spettacoli falsi avvisi di sicurezza, popup e annunci.
DarkHydrus Trojan effettuate versioni del sistema operativo Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
Geografia di DarkHydrus Trojan
Eliminare DarkHydrus Trojan da Windows
Elimina DarkHydrus Trojan da Windows XP:
- Fare clic su Start per aprire il menu.
- Selezionare Pannello di controllo e vai a Aggiungi o Rimuovi programmi.
- Scegliere e rimuovere il programma indesiderato.
Rimuovi DarkHydrus Trojan dal tuo Windows 7 e Vista:
- Aprire il menu Start e selezionare Pannello di controllo.
- Spostare Disinstalla un programma
- Pulsante destro del mouse sull'app indesiderato e scegliere Disinstalla.
Cancella DarkHydrus Trojan da Windows 8 e 8.1:
- Pulsante destro del mouse sull'angolo inferiore sinistro e selezionare Pannello di controllo.
- Scegliere Disinstalla un programma e fare clic destro sull'applicazione indesiderata.
- Fare clic su disinstallare .
Eliminare DarkHydrus Trojan dal tuo browser
DarkHydrus Trojan Rimozione da Internet Explorer
- Fare clic sull' icona dell'ingranaggio e seleziona Opzioni Internet.
- Vai alla scheda Avanzate e fare clic su Reimposta.
- Verifica Elimina impostazioni personali e clicca Reset nuovamente.
- Fare clic su Chiudi e scegliere OK.
- Tornare indietro per l' icona dell'ingranaggio, scegliere Gestione componenti aggiuntivi → estensioni e barre degli strumentie delete indesiderati estensioni.
- Vai al Provider di ricerca e scegliere un nuovo motore di ricerca di predefinito
Cancellare DarkHydrus Trojan da Mozilla Firefox
- Inserire "about:addons" nel campo URL .
- Vai a estensioni ed eliminare le estensioni browser sospette
- Scegliere dal menu, fare clic sul punto interrogativo e aprire la Guida di Firefox. Fare clic sul pulsante Firefox Aggiorna e selezionare Aggiorna Firefox per confermare.
Terminare DarkHydrus Trojan da Chrome
- Digitare "chrome://extensions" nel campo URL e premere invio.
- Terminare le estensioni del browser inaffidabile
- Riavviare Google Chrome.
- Aprire Chrome menu, fare clic su impostazioni → impostazioni di Show advanced, selezionare Reimposta le impostazioni del browser e fare clic su Reimposta (opzionale).