De DarkHydrus Trojan is een gevaarlijk wapen gebruikt tegen de computer gebruikers wereldwijd. Het infecteert voornamelijk plaats via geïnfecteerde documenten. Ons artikel geeft een overzicht van het gedrag volgens de verzamelde monsters en beschikbare rapporten, ook kan het nuttig zijn bij het proberen te verwijderen van het virus.
De DarkHydrus Trojan is vernoemd naar de criminele collectieve achter. De code is gebaseerd op een ouder voorbeeld bekend als de RogueRobin Trojan. De gedetecteerde aanval campagne bestaat uit een aantal verschillende versies van geïnfecteerde documenten, specifiek Excel-documenten .de extensie xlsm. Wanneer ze worden geopend in een Security Waarschuwing weergegeven met de vraag van de gebruikers, zodat de ingebouwde inhoud. De analyse van de documenten blijkt dat de verkregen monsters werden genomen in December 2018 en januari 2019. Het is heel goed mogelijk dat andere formaten zijn ook gebruikt voor hetzelfde doel: databases, spreadsheets en tekstbestanden. Zodra de scripts mag uitvoeren, zij zal leiden tot een PowerShell script, die zullen leiden tot de |Trojan-installatie. Aanpassingen aan de toets de gegevens van het systeem in te stellen om automatisch te starten wanneer de computer wordt gestart.
Terwijl deze campagne gebruikt momenteel documenten als de belangrijkste lading levering apparaat er zijn andere methoden die kunnen worden beschouwd als door de hackers. Sommigen van hen zijn de volgende:
- Geïnfecteerde Software Installateurs — Een soortgelijke strategie is om het insluiten van de Trojan levering code in de setup-bestanden van populaire toepassingen die vaak worden gedownload door eindgebruikers. Voorbeeld programma ‘ s zijn systeem utilities, creativiteit suites, optimalisatie tools en de productiviteit apps. Wanneer de bestanden uitvoeren van de DarkHydrus Trojan zal worden ingezet.
- E-mail Phishing-Berichten — Traditionele ransomware levering wordt gedaan door het verzenden van berichten die het imiteren van legitieme meldingen verstuurd via e-mail. Ze zullen vaak imiteren van bekende bedrijven, producten en diensten door het kopiëren van hun lichaam lay-out en tekst. Zodra de slachtoffers interactie met een van de schadelijke elementen of de bijlagen van de infectie zal worden gestart.
- Kwaadaardige Sites — Te maken infecties vaker voor de hackers kunnen model nep-sites voordoen als legitieme landing pagina ‘ s, software vendor sites, download portals, etc. Wanneer de slachtoffers samenwerkt met een van de elementen van de DarkHydrus Trojan infectie verworven — dit kan worden bij het downloaden van een bestand of simpelweg te klikken op een script.
- Browser Hijackers — Ze zijn browser-gebaseerde plug-ins, die gemaakt zijn door de hackers en worden meestal ingezet op de betreffende archieven. Dit wordt gedaan met een nep-ontwikkelaar referenties en ervaringen van gebruikers. Hun beschrijvingen zijn de beloften van verbeteringen in de prestaties of de toevoeging van nieuwe functionaliteit.
Als de DarkHydrus Trojan is gebaseerd op de broncode van een eerdere bedreiging veel van de functionaliteit zal worden gedeeld. Tijdens het virus de installatie van de dreiging zal worden uitgevoerd elke keer dat de computer wordt aangezet, waardoor het zeer moeilijk te verwijderen. De andere opdracht die wordt uitgevoerd zodra de infectie heeft plaatsgevonden, is het omzeilen van de beveiliging functie. Het scannen de geïnfecteerde computer is het geheugen en het zoeken naar eventuele geïnstalleerde virtuele machine hosts, debug tools of sandbox-omgeving die kan worden gebruikt door de beveiliging specialisten analyseren. De motor zal direct schakelt zichzelf neer als het ontdekt dat een dergelijke toepassing of service wordt uitgevoerd.
De Trojan zal vervolgens een verbinding met een hacker-gestuurde server met behulp van reguliere expressies. Haar interessant om op te merken dat dit gebeurt via een DNS-query ‘s en aangepaste query’ s. Het onderscheidende kenmerk van deze malware is dat het bouwen van een subdomein voor elke individuele infectie. De code-analyse toont een lijst van de beschikbare commando ‘ s:
- ^doden — Dit zal de draad met de Trojan te worden gedood
- ^$defiledownloadde — De opgegeven bestand moet worden geüpload naar de hacker-gestuurde server
- ^$importModule — Loopt een PowerShell aanleg en toegevoegd aan de “modules” lijst
- ^$x_mode — Schakelt op een alternatieve “x_mode” mode die overgeschakeld op een alternatieve opdracht kanaal
- ^$ClearModules — Wist het eerder uitvoeren van de “modules” lijst
- ^$fileUpload — Dit commando wordt gebruikt voor het instellen van een pad waaraan een nieuw bestand moet worden geüpload.
- ^testmode — Dit loopt een test functie die controleert of een verbinding veilig kan worden gemaakt naar de hacker-gestuurde server
- ^showconfig — Dit zal het genereren van de huidige configuratie van de infectie motor
- ^changeConfig — Dit zal leiden tot een wijziging in de configuratie waarin de verzonden input parameters en slaat ze op het lokale exemplaar
- ^slp — Dit wil instellen op de slaap en de jitter-waarden
- ^afslag — Uitgangen van de Trojan exemplaar
De nieuwe variant van de DarkHydrus Trojan heeft gevonden om Google Drive gebruiken als de instrumentale repository te leveren van de hacker opdrachten. Dit wordt gedaan door het uploaden van een bestand naar de vooraf gedefinieerde hacker account en voortdurend te controleren voor eventuele veranderingen op het document. Alle ingevoerde opdracht zal worden uitgevoerd op basis van de ingevoerde velden. Alle chnages op de geüploade document worden beschouwd als werk dat uitgevoerd moet worden op de geïnfecteerde computers. Verificatie van de dienst wordt gedaan door middel van een speciale commando ‘ s die specifiek zijn voor de Google Drive-regeling. Speciale access-tokens worden opgehaald voordat er toegang wordt gegeven tot het document.
Een complex netwerk van domeinen heeft geopenbaard, die laat zien dat er veel werk is uitgevoerd om de Trojan en haar infrastructuur. De code-analyse blijkt dat het in staat is om de uitvoering van schade aan de systemen en kapen van gevoelige gegevens. Dit is gedaan via een speciaal script dat gebruik maakt van de verzamelde informatie voor het genereren van een unieke apparaat-ID. Er zijn twee categorieën van gegevens die worden meestal beschouwd:
- Persoonlijke Informatie — De motor zal zoeken naar tekenreeksen die rechtstreeks bloot te stellen de identiteit van het slachtoffer gebruikers. De Trojan kan worden geïnstrueerd om niet alleen te zoeken in het geheugen, maar ook de inhoud van de harde schijf, verwijderbare apparaten en netwerk-shares. Gegevens van belang ook hun naam, adres, telefoonnummer, gegevens over de ligging en de opgeslagen referenties. De verzamelde informatie kan worden gebruikt voor het uitvoeren van misdrijven zoals diefstal van identiteit en financieel misbruik.
- Machine-Informatie — De Trojan kan het genereren van een rapport van de geïnstalleerde hardware en systeem instellingen. De uitgebreide gegevens is nuttig om te bepalen wat voor soort computers zijn geïnfecteerd. De statistische informatie is nuttig bij het ontwerpen van updates voor de Trojan.
Er zijn verschillende toepassingen voor de Trojan is veel meer dan het halen van de geïnfecteerde computers. Het gebruik van de complexe infrastructuur en de complexe omzeilen van de beveiliging stappen genomen in het begin van de infectie routine laat zien dat het doel de slachtoffers zijn waarschijnlijk ondernemingen of overheidsinstellingen. Het is zeer waarschijnlijk dat toekomstige versies kunnen toevoegen in nieuwe functionaliteiten en het verbeteren van de reeds ingeschakeld degenen. Het gebruik van Google Drive-infrastructuur kan het moeilijker maken voor elk netwerk beheerders ziet een infectie Trojan cliënten wordt verwacht dat contact ongewone hacker-gecontroleerde servers.
De diefstal van gegevens capaciteit geeft zekerheid analisten redenen om te geloven dat dit een wapen voor sabotage doeleinden. De motor kan verzamelen een grote hoeveelheid informatie over beide categorieën van informatie, mogelijk de toegang tot netwerkstations. In het geval waar sprake is van een gecoördineerde aanval tegen een bepaalde onderneming kan dit een zeer krachtig wapen.
De uitgevoerde code-analyse toont aan dat de Trojan is in staat om de toegang tot en het wijzigen van een breed scala van gegevens van het systeem:
- Windows Register — Wijzigingen aan de Windows Register kan een compromis zijn zowel de waarden die worden gebruikt door het besturingssysteem en de apps van derden. Dit kan leiden tot ernstige problemen met de prestaties en de onmogelijkheid om toegang te krijgen tot bepaalde diensten of functies die normaal gesproken worden gebruikt door de eindgebruikers. Wijzigingen op de items behorende tot enig toepassingen van derden kan leiden tot onverwachte fouten.
- Boot Opties — Dit is gedaan om de Trojan automatisch te starten als de computer eenmaal is ingeschakeld. Bepaalde acties kunnen blokkeren van de toegang tot de recovery boot-menu en instellingen die het onmogelijk maakt het meest gebruik van de handmatige herstel gidsen.
- De Gegevens van het systeem — De motor kan worden gebruikt om te zoeken en de identiteit van alle back-ups, Systeem herstelpunten en andere bestanden die zijn gebruikt tijdens het herstel.
Gezien het feit dat de DarkHydrus Trojan presenteert een complexe dreiging die kunnen worden ingezet bij grote ondernemingen en de overheid op elk moment nadat de opdracht is gegeven alle bestaande infecties dienen te worden geïdentificeerd en zo snel mogelijk verwijderd. Toekomstige updates kunnen transformeren in een nog krachtiger wapen.
Als uw computer werd geïnfecteerd met het DarkHydrus Trojan Trojan, je moet een beetje ervaring in het verwijderen van malware. U moet zich te ontdoen van deze Trojan zo snel mogelijk, voordat deze de kans om verder verspreid en infecteren van andere computers. U moet verwijderen van de Trojan en volg de stap-voor-stap instructies gids hieronder.
Waarschuwing, Veelvoudig Anti-virus scanner mogelijk malware in DarkHydrus Trojan gedetecteerd.
| Anti-Virus Software | Versie | Detectie |
|---|---|---|
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
DarkHydrus Trojan gedrag
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
- Uw browser omleiden naar geïnfecteerde pagina's.
- DarkHydrus Trojan shows commerciële advertenties
- Wijzigingen van gebruiker homepage
- Gemeenschappelijke DarkHydrus Trojan gedrag en sommige andere tekst emplaining som info in verband met gedrag
- Vertraagt internet-verbinding
- Verspreidt zich via pay-per-install of is gebundeld met terts-verschijnende partij software.
- Integreert in de webbrowser via de DarkHydrus Trojan Grazen verlenging
- Steelt of gebruikt uw vertrouwelijke gegevens
- DarkHydrus Trojan deactiveert geïnstalleerde beveiligingssoftware.
- Toont vals veiligheidsalarm, Pop-ups en advertenties.
DarkHydrus Trojan verricht Windows OS versies
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
DarkHydrus Trojan Geografie
DarkHydrus Trojan elimineren van Windows
DarkHydrus Trojan uit Windows XP verwijderen:
- Klik op Start om het menu te openen.
- Selecteer Het Configuratiescherm en ga naar toevoegen of verwijderen van programma's.
- Kies en Verwijder de ongewenste programma.
Verwijderen DarkHydrus Trojan uit uw Windows 7 en Vista:
- Open menu Start en selecteer Configuratiescherm.
- Verplaatsen naar een programma verwijderen
- Klik met de rechtermuisknop op het ongewenste app en pick verwijderen.
Wissen DarkHydrus Trojan van Windows 8 en 8.1:
- Klik met de rechtermuisknop op de linkerbenedenhoek en selecteer Configuratiescherm.
- Kies een programma verwijderen en Klik met de rechtermuisknop op het ongewenste app.
- Klik op verwijderen .
DarkHydrus Trojan verwijderen uit uw Browsers
DarkHydrus Trojan Verwijdering van Internet Explorer
- Klik op het pictogram van het vistuig en selecteer Internet-opties.
- Ga naar het tabblad Geavanceerd en klikt u op Beginwaarden.
- Controleer verwijderen persoonlijke instellingen en klik op Beginwaarden opnieuw.
- Klik op sluiten en selecteer OK.
- Ga terug naar het pictogram van de versnelling, Invoegtoepassingen beheren → Kies werkbalken en uitbreidingen, en verwijderen ongewenste extensies.
- Ga naar Search Providers en kies een nieuwe standaard zoekmachine
Wissen DarkHydrus Trojan van Mozilla Firefox
- Voer "about:addons" in het URL -veld.
- Ga naar Extensions en verwijderen verdachte browser-extensies
- Klik op het menu, klikt u op het vraagteken en Firefox Helpopenen. Klik op de Firefox knop Vernieuwen en selecteer vernieuwen Firefox om te bevestigen.
Beëindigen DarkHydrus Trojan van Chrome
- Typ in "chrome://extensions" in het veld URL en tik op Enter.
- Beëindigen van onbetrouwbare browser- extensies
- Opnieuw Google Chrome.
- Chrome menu openen, klik op instellingen → Toon geavanceerde instellingen, selecteer Reset browserinstellingen en klikt u op Beginwaarden (optioneel).