Den DarkHydrus Trojan er et farlig våpen som brukes mot pc-brukere over hele verden. Det smitter hovedsakelig via infiserte dokumenter. Artikkelen gir en oversikt over sin oppførsel i henhold til de innsamlede prøvene og tilgjengelige rapporter, også det kan være nyttig å forsøke å fjerne viruset.
Den DarkHydrus Trojan er oppkalt etter den kriminelle kollektive bak det. Koden er basert på et eldre eksempel kjent som RogueRobin Trojan. Oppdaget angrep kampanjen har flere forskjellige versjoner av infiserte dokumenter, spesielt Excel-dokumenter med .xlsm extension. Når de er åpnet en sikkerhetsadvarsel ledetekst vil vises som ber brukere til å aktivere den innebygde innhold. Analyse av dokumentet viser at ervervet prøvene ble gjort i desember og januar 2018 2019. Det er meget mulig at andre formater er også brukt til samme formål: databaser, regneark og tekstdokumenter. Så snart skript er tillatt å kjøre de vil utløse en PowerShell script som vil føre til det |Trojan-installasjon. Modifikasjoner for å nøkkel system data vil sette den til å starte automatisk når datamaskinen startes.
Mens denne kampanjen for tiden bruker dokumenter som den viktigste nyttelast levering enheten det finnes andre metoder som kan være vurdert av hackere. Noen av dem inkluderer følgende:
- Infisert Programvare Installatører ※ En lignende strategi er å legge Trojan levering-koden inn i setup filer av populære programmer som lastes ned av sluttbrukere. Eksempel programmer inkluderer system verktøy, kreativitet suites, verktøy for optimalisering og produktivitet apps. Når filene kjøres i DarkHydrus Trojan vil bli implementert.
- E-Phishing-Meldinger ※ Tradisjonelle ransomware levering er gjort ved å sende ut meldinger som etterligner legitime meldinger som sendes ut via e-post. De vil ofte opptre som kjente selskaper, produkter og tjenester ved å kopiere deres kropp layout og tekst. Så snart som ofre samhandle med noen av de skadelige elementer eller filvedlegg infeksjonen vil bli startet.
- Ondsinnede Nettsteder ※ for Å få infeksjoner som er mer utbredt hackere kan modellen falske nettsteder som utgi seg for å være legitime destinasjonssider, leverandør av programvare nettsteder, laste ned portaler og etc. Når ofrene samhandler med noen av de elementene DarkHydrus Trojan infeksjon vil bli ervervet ※ dette kan være når du laster ned en fil eller ganske enkelt å klikke på et skript.
- Nettleserkaprere ※ De er nettleser-basert plugins som er laget av hackere, og de er vanligvis utplassert på de respektive registre. Dette er gjort med falske utvikler legitimasjon og brukeranmeldelser. Deres beskrivelser vil omfatte lover for ytelse ekstrautstyr eller tillegg av ny funksjonalitet.
Som DarkHydrus Trojan er basert på kildekoden til en tidligere trusselen mange av dens funksjonalitet wll være felles. I løpet av virus, installasjon trusselen vil bli satt til å kjøre hver gang maskinen blir slått på, noe som gjør det svært vanskelig å fjerne. Den andre kommandoen kjør så snart infeksjonen har funnet sted, er sikkerheten bypass-funksjonen. Det vil skanne den infiserte maskinen minne og søk for eventuelle installerte virtuell maskin, allhers gud, debug verktøy eller sandkasse miljø som kan brukes av sikkerhet spesialister for å analysere det. Motoren vil umiddelbart slå seg ned hvis det oppdages at et slikt program eller en tjeneste er i gang.
Den Trojanske vil så sette opp en tilkobling til et hacker-kontrollerte server ved hjelp av regulære uttrykk. Det er interessant å merke seg at dette gjøres via DNS-spørringer og egne spørringer. Det karakteristisk for denne spesielle malware er at det vil bygge et underdomene for hver enkelt infeksjon. Koden analyse avslører en liste over tilgjengelige kommandoer:
- ^drepe ※ Dette vil instruere tråden som inneholder den Trojanske å bli drept
- ^$fileDownload ※ Den angitte filen som skal lastes opp til hacker-kontrollerte server
- ^$importModule ※ Kjører en PowerShell eksempel og legger det til «moduler» listen
- ^$x_mode ※ Brytere på en alternativ «x_mode» – modus som skifter til en alternativ kanal-kommandoen
- ^$ClearModules ※ Tømmer tidligere run «moduler» listen
- ^$fileUpload ※ Denne kommandoen brukes til å sette opp en bane til som en ny fil som skal lastes opp.
- ^testmode ※ Dette kjører en test funksjon som sjekker om en forbindelse kan sikkert gjort til hacker-kontrollerte server
- ^showconfig ※ Dette vil generere den gjeldende konfigurasjonen av infeksjonen motor
- ^changeConfig ※ Dette vil utløse en endring i konfigurasjon som tar sendt inn parametere og lagrer dem på den lokale forekomsten
- ^slp ※ Dette wil oppsett søvn og jitter verdier
- ^avslutt ※ Avslutter den Trojanske eksempel
Den nye varianten av DarkHydrus Trojan har blitt funnet å bruke Google Disk som medvirkende depotet for å levere hacker-kommandoer. Dette gjøres ved å laste opp en fil til de forhåndsdefinerte hacker-konto og hele tiden se etter eventuelle endringer i dokumentet. Noen skrev inn kommandoen skal kjøres i henhold til de angitte feltene. Alle chnages å lastet dokumentet anses som jobber som skal kjøre på den infiserte datamaskiner. Godkjenning til tjenesten er gjort via spesielle kommandoer som er spesifikke for Google Disk-ordningen. Spesielle tilgangskoder som skal hentes før tilgang gis til dokumentet.
Et komplekst nettverk av domener har blitt avslørt som viser at mye arbeid har blitt satt i verk for å skape den Trojanske og dets infrastruktur. Koden sin analyse viser at det er i stand til å utføre skade på systemer og kapre sensitive data. Dette gjøres via en spesiell skript som bruker den innsamlede informasjonen til å generere en unik maskin ID. Det er to kategorier av informasjon som er vanligvis betraktet som:
- Personlig Informasjon ※ motoren vil søke etter strenger som kan direkte avsløre identiteten til offeret brukere. Trojaneren kan være instruert til ikke bare å søke i minnet, men også innholdet av harddisk, flyttbare enheter og tilgjengelig nettverk aksjer. Data av interesse inkluderer navn, adresse, telefonnummer, posisjonsdata og alle som er lagret kontoen. Den innsamlede informasjonen kan brukes til å utføre forbrytelser som identitetstyveri og økonomiske overgrep.
- Maskinen Informasjon ※ Trojan kan generere en rapport over de installerte komponenter og system settings. Omfattende data er nyttig for å finne ut hva slags datamaskiner er infisert. Statistisk informasjon som er nyttig når du utformer oppdateringer for den Trojanske.
Det er ulike bruksområder for Trojan som kan være mye mer enn den enkle innhente av infiserte datamaskiner. Bruk av kompleks infrastruktur og komplekse sikkerhetsomgåelse tiltak som er iverksatt i begynnelsen av infeksjon rutine viser at målet ofrene er trolig bedrifter eller offentlige etater. Det er svært sannsynlig at fremtidige versjoner kan legge til i nyere funksjonalitet og styrke den allerede er aktivert seg. Bruk av Google Drive infrastruktur kan gjøre det vanskeligere for alle network administratorer å legge merke til en infeksjon som Trojan kunder er forventet å kontakte uvanlig hacker-kontrollerte servere.
Data tyveri evne gir sikkerhetsanalytikere grunner til å tro at dette kan være et våpen for sabotasje formål. Motoren kan samle en stor mengde av informasjon på tvers av begge kategorier av informasjon, og potensielt få tilgang til nettverksstasjoner. I tilfelle der det er en koordinert angrep mot en gitt enterprise dette kan være en svært kraftig våpen.
De utførte koden analyse viser at den Trojanske er i stand til å få tilgang til og endre et bredt spekter av system data:
- Windows Registret ※ Endringer til Windows Registret kan invadere både de verdiene som er brukt av operativsystemet og alle apper og apper fra tredjeparter. Dette kan føre til alvorlige ytelsesproblemer og manglende evne til å få tilgang til enkelte tjenester eller funksjoner som vanligvis benyttes av sluttbrukere. Endringer oppføringer som hører til noen tredje parts programmer, kan det føre til uventede feil.
- Boot Valg ※ Dette er gjort for å sette Trojan starte automatisk når datamaskinen er slått på. Enkelte handlinger kan deaktivere tilgang til recovery, en boot-meny og innstillinger som gjør det umulig å bruke de fleste av manuell gjenoppretting guider.
- System Data ※ motoren kan brukes til å søke og identitet eventuelle sikkerhetskopier, gjenopprettingspunkter og andre filer som er brukt under gjenopprettingen.
Gitt det faktum at DarkHydrus Trojan presenterer en kompleks trussel som kan bli lansert på bedrift og offentlige etater som til enhver tid når kommandoen er gitt alle eksisterende infeksjoner bør identifiseres og fjernes så raskt som mulig. Fremtidige oppdateringer kan forvandle det til et enda kraftigere våpen.
Hvis datamaskinen ble smittet med DarkHydrus Trojan Trojan, du bør ha litt erfaring i å fjerne malware. Du bør kvitte seg med denne Trojaneren så raskt som mulig før det kan få sjansen til å spre videre og infisere andre datamaskiner. Du bør fjerne Trojan og følg steg-for-trinn-instruksjoner som er gitt nedenfor.
Advarsel, har flere anti-virusprogrammer oppdaget mulige malware i DarkHydrus Trojan.
| Antivirusprogramvare | Versjon | Gjenkjenning |
|---|---|---|
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Dr.Web | Adware.Searcher.2467 | |
| Malwarebytes | v2013.10.29.10 | PUP.Optional.MalSign.Generic |
| VIPRE Antivirus | 22702 | Wajam (fs) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
DarkHydrus Trojan atferd
- Bremser internettforbindelse
- DarkHydrus Trojan viser kommersielle annonser
- Vanlige DarkHydrus Trojan atferd og noen andre tekst emplaining som informasjon knyttet til problemet
- Omdirigere nettleseren til infiserte sider.
- Endrer brukerens hjemmeside
- Installerer selv uten tillatelser
- Endrer Desktop og webleserinnstillinger.
- Integreres nettleseren via nettleserutvidelse DarkHydrus Trojan
DarkHydrus Trojan berørt Windows OS-versjoner
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
DarkHydrus Trojan geografi
Eliminere DarkHydrus Trojan fra Windows
Slett DarkHydrus Trojan fra Windows XP:
- Klikk på Start for å åpne menyen.
- Velg Kontrollpanel og gå til sammenlegge eller fjerne planer.
- Velge og fjerne det uønskede programmet.
Fjern DarkHydrus Trojan fra din Windows 7 og Vista:
- Åpne Start -menyen og velg Kontrollpanel.
- Flytte til Avinstaller et program
- Høyreklikk uønskede programmet og velg Avinstaller.
Slett DarkHydrus Trojan fra Windows 8 og 8.1:
- Høyreklikk på nederst til venstre og velg Kontrollpanel.
- Velg Avinstaller et program og Høyreklikk på uønskede app.
- Klikk Avinstaller .
Slett DarkHydrus Trojan fra din nettlesere
DarkHydrus Trojan Fjerning av Internet Explorer
- Klikk på Gear-ikonet og velg Alternativer for Internett.
- Gå til kategorien Avansert og klikk Tilbakestill.
- Når du sletter personlige innstillinger , og klikk Tilbakestill igjen.
- Klikk Lukk og velg OK.
- Gå tilbake til girikonet, velge Administrer tillegg → verktøylinjer og utvidelser, og slette uønskede utvidelser.
- Gå til Søkeleverandører og velg en ny standard søkemotor
Slette DarkHydrus Trojan fra Mozilla Firefox
- Angi "about:addons" i URL -feltet.
- Gå til utvidelser og slette mistenkelige leserutvidelser
- Klikk på menyen, klikker du spørsmålstegnet og åpne Firefox hjelp. Klikk på Oppdater Firefox-knappen og velg Oppdater Firefox å bekrefte.
Avslutte DarkHydrus Trojan fra Chrome
- Skriv inn "chrome://extensions" i URL -feltet og trykk Enter.
- Avslutte upålitelige kikker extensions
- Starte Google Chrome.
- Åpne Chrome-menyen, klikk Innstillinger → Vis avanserte innstillinger, Velg Tilbakestill leserinnstillinger og klikk Tilbakestill (valgfritt).