В DarkHydrus Trojan-это грозное оружие против компьютерных пользователей по всему миру. Он поражает в основном через зараженные документы. Наша статья дает обзор его поведение в зависимости от собранных образцов и отчетов, также может быть полезным при попытке удалить вирус.
В DarkHydrus Trojan назван в честь криминального коллектива за ней. Код основан на старом образце известен как Троян RogueRobin. Обнаруженные атаки кампания имеет несколько различных версий зараженные документы, в частности документы Excel с .расширение файл xlsm. Когда они открыли предупреждение системы безопасности будет показано просят пользователей, чтобы включить встроенный контент. Анализ документа показывает, что полученные образцы были сделаны в декабре 2018 года и января 2019 года. Вполне возможно, что другие форматы также используются для тех же целей: базы данных, электронные таблицы и текстовые документы. Как только скрипты могут запускаться они будут вызывать скрипт PowerShell, что приведет к установке |Троян. Изменения важных системных данных будет установить его для автоматического запуска при запуске компьютера.
Во время этой кампании в настоящее время использует документы как основная нагрузка устройства доставки существуют и другие методы, которые можно считать хакерами. Некоторые из них относятся следующие:
- Зараженный установщиками программного обеспечения — аналогичную стратегию для внедрения Троянского кода в файлы установки популярных приложений, которые часто загружены пользователями. Пример программы включают в себя системные утилиты, творчество люксы, инструменты оптимизации и производительности приложений. Когда файлы будут запускать DarkHydrus Trojan будут развернуты.
- По электронной почте фишинговых сообщений — традиционные поставки вымогателей производится рассылка сообщений, имитирующих законные уведомления разосланы через электронную почту. Они часто известные подражать компаний, товаров и услуг, копируя их структуру тела и текста. Как только жертвы взаимодействовать с любой из вредоносных элементов или вложенный файл инфекцию будет запущен.
- Вредоносные сайты —, чтобы сделать более распространены инфекции хакеры могут моделировать поддельных сайтов, маскирующихся под законные посадочные страницы, поставщика программного обеспечения сайты, порталы и т. д. Всякий раз, когда жертв взаимодействует ни с одним из элементов DarkHydrus Trojan инфекции будут приобретены — это может быть при скачивании файла или просто нажав на сценарий.
- Браузер угонщиков — они браузерных плагинов, которые изготавливаются хакерами и, как правило, развернуты на соответствующих репозиториев. Это делается с поддельными учетными данными разработчика и отзывы пользователей. Их описания будут содержать обещаний улучшения производительности или добавления новых функций.
Как DarkHydrus Trojan базируется на исходном коде предыдущей опасная многих ее функционала будет использоваться совместно. Во время установки вируса эта угроза может быть настроен на запуск каждый раз, когда компьютер включен, что делает его очень трудно удалить. Другая команда, которая выполняется, как только инфекция имеет место функция обхода безопасности. Это сканирование памяти и поиск зараженных машин для всех установленных виртуальных машин, отладки или изолированной среде, которые могут быть использованы специалистами по безопасности для анализа. Двигатель будет немедленно закрывается, если обнаруживает, что такое приложение или служба.
Затем троянец установит соединение с хакер-сервере, используя регулярные выражения. Его интересно отметить, что это делается через DNS-запросов и пользовательских запросов. Отличительной особенностью данной вредоносной программы является то, что он будет строить поддомен для каждой отдельной инфекции. Анализ кода показывает список доступных команд:
- ^убить — это поручить поток, содержащий Троян, чтобы быть убитым
- ^$fileDownload — данный файл должен быть загружен на скрытые сервера
- ^$importModule — работает в PowerShell экземпляр и добавляет его в “модули” список
- ^$x_mode — переключается на альтернативный “x_mode” режим, который переключается на альтернативный канал команды
- ^$ClearModules — удаляет ранее запуска “модули” список
- ^$fileupload с — эта команда используется для установки путь, к которому новый файл будет загружен.
- ^testmode — этот тест выполняется функция, которая проверяет, является ли соединение может быть безопасно для хакера сервере
- ^showconfig — это приведет к возникновению текущей конфигурации инфекция двигателя
- ^changeConfig — это вызовет изменение конфигурации, которая принимает послал входных параметров и сохраняет их на локальном экземпляре
- ^СЛП â€” это Виль настройки сна и дрожание значения
- ^выход — выходы Троянского экземпляра
Новый вариант DarkHydrus Trojan был найден с помощью Google Диска, как инструментальное хранилище, чтобы доставить хакерских команд. Это делается путем загрузки файла с предопределенными хакер аккаунт и постоянно проверять любые изменения в документе. Любая введенная команда будет выполняться в соответствии с введенным поля. Все chnages с отправленным документом считаются вакансии, которые будут работать на зараженных компьютерах. Проверка подлинности к сервису осуществляется с помощью специальных команд, которые являются специфическими для схема привода компания Google. Специальные маркеры доступа извлекаются до доступа к документу.
Сложная сеть доменов было выявлено, что показывает, что большая работа была осуществлена для того, чтобы создать Трояна и его инфраструктуры. Его анализ кода показывает, что он способен выполнять повреждения систем и захватить конфиденциальные данные. Это делается с помощью специального скрипта, который использует собранную информацию для генерации уникального идентификатора машины. Существует две категории информации, которые обычно рассматриваются:
- Личной информации — двигателя будет искать строки, которые могут сразу разоблачить личность потерпевшего пользователей. Троянец может быть поручено не только для поиска в памяти, но и содержимое жесткого диска, съемных устройств и доступных сетевых ресурсах. Данных включает в себя имя, адрес, номер телефона, данные о местоположении и любых сохраненных учетных данных. Собранная информация может быть использована для совершения таких преступлений, как кражи личных данных и финансовых злоупотреблений.
- Машина информации — этот троян может создать отчет из установленных аппаратных компонентов и настроек системы. Обширные данные полезны для того, чтобы определить, какие компьютеры заражены. Статистическая информация может быть полезна при разработке обновления для троянца.
Существуют различные варианты использования для инфекции, которая может быть намного больше, чем просто перегнать из зараженных компьютеров. Использование комплекса инфраструктуры и комплексной безопасности обойти предпринятые в начале рутинную инфекции показывает, что жертвы, наверное, корпораций или государственных структур. Весьма вероятно, что в будущих версиях возможно добавление новых функциональных возможностей и повышения уже те, кто способен. Использование инфраструктуры Google Диск может сделать его более трудным для каких-либо сетевых администраторов, чтобы заметить инфекции как Троян клиенты должны связаться с необычными хакерских серверах.
Возможность кражи данных дает аналитикам безопасности основания полагать, что это может быть оружие для диверсионных целях. Двигатель может собрать большой объем информации по обеим категориям информации, потенциально имеют доступ, а также сетевые диски. В случае, где есть скоординированную атаку против конкретного предприятия, это может быть очень мощное оружие.
Проведенный анализ кода показывает, что троян способен открывать и изменять широкий спектр данных системы:
- Windows реестра — изменения в Windows реестра может заставить оба значения, которые используются операционной системой и сторонними приложениями. Это может привести к серьезным проблемам производительности и невозможность доступа к некоторым службам или функциям, которые обычно используются конечными пользователями. Изменений в записи принадлежащие к какой-либо сторонних приложений может привести к неожиданным ошибкам.
- Параметры загрузки — это делается для того, чтобы установить троян запускается автоматически, когда компьютер включен. Некоторые действия могут отключить доступ к меню восстановления загрузки и настройки, что делает невозможным использование большинства ручного восстановления направляющих.
- Данные системы — двигатель может быть использовано для поиска и идентификации любого резервные копии, точки восстановления системы и другие файлы, которые используются во время восстановления.
Учитывая тот факт, что DarkHydrus Trojan представляет собой сложные угрозы, которые могут быть запущены на предприятия и государственные учреждения в любой момент времени, как только будет дана команда все существующие инфекции должны быть выявлены и удалены как можно быстрее. Будущие обновления может превратить его в еще более мощное оружие.
Если ваш компьютер заражен с DarkHydrus Trojan Троян, Вы должны иметь немного опыта в удаления вредоносных программ. Вы должны избавиться от этой вредоносной как можно быстрее, прежде чем он может иметь возможность распространяться дальше и заражать другие компьютеры. Вы должны удалить Trojan и следуйте шаг за шагом инструкции руководства приведены ниже.
Предупреждение, множественные антивирусные сканеры обнаружили возможные вредоносные программы в DarkHydrus Trojan.
| Антивирусное программное обеспечение | Версия | Обнаружение |
|---|---|---|
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| McAfee-GW-Edition | 2013 | Win32.Application.OptimizerPro.E |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Dr.Web | Adware.Searcher.2467 | |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| Qihoo-360 | 1.0.0.1015 | Win32/Virus.RiskTool.825 |
поведение DarkHydrus Trojan
- Изменяет пользователя Главная страница
- Интегрируется в веб-браузере через расширение браузера DarkHydrus Trojan
- Распределяет через платить за установку или в комплекте с программным обеспечением сторонних производителей.
- DarkHydrus Trojan деактивирует установленного программного обеспечения.
- Крадет или использует ваши конфиденциальные данные
- DarkHydrus Trojan подключается к сети Интернет без вашего разрешения
- Показывает поддельные предупреждения системы безопасности, всплывающих окон и рекламы.
- Перенаправление браузера на зараженных страниц.
DarkHydrus Trojan осуществляется версий ОС Windows
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
География DarkHydrus Trojan
Ликвидации DarkHydrus Trojan от Windows
Удалите из Windows XP DarkHydrus Trojan:
- Нажмите на начать , чтобы открыть меню.
- Выберите Панель управления и перейти на Установка и удаление программ.
- Выбрать и Удалить нежелательные программы.
Удалить DarkHydrus Trojan от вашего Windows 7 и Vista:
- Откройте меню Пуск и выберите Панель управления.
- Перейти к Удаление программы
- Щелкните правой кнопкой мыши нежелательное приложение и выбрать Удалить.
Стереть DarkHydrus Trojan от Windows 8 и 8.1:
- Щелкните правой кнопкой мыши в нижнем левом углу и выберите Панель управления.
- Выберите удалить программу и щелкните правой кнопкой мыши на нежелательные приложения.
- Нажмите кнопку Удалить .
Удалить из вашего браузеров DarkHydrus Trojan
DarkHydrus Trojan Удаление от Internet Explorer
- Нажмите на значок шестеренки и выберите пункт Свойства обозревателя.
- Перейдите на вкладку Дополнительно и нажмите кнопку Сброс.
- Проверить, Удалить личные настройки и снова нажмите кнопку Сброс .
- Нажмите кнопку Закрыть и нажмите кнопку OK.
- Вернуться к значок шестеренки, выбрать надстройки → панели инструментов и расширенияи удалить нежелательные расширений.
- Перейти к Поставщиков поиска и выбрать новый по умолчанию поисковой системы
Стереть DarkHydrus Trojan от Mozilla Firefox
- В поле URL введите «about:addons».
- Перейти к расширения и удалить расширений подозрительных браузера
- Нажмите на меню, нажмите кнопку с вопросительным знаком и открыть справку Firefox. Нажмите на Firefox кнопку Обновить и выберите Обновить Firefox для подтверждения.
Прекратить DarkHydrus Trojan от Chrome
- В «chrome://extensions» введите в поле URL-адрес и нажмите Enter.
- Прекратить ненадежных браузера расширений
- Перезапустить Google Chrome.
- Откройте меню Chrome, нажмите кнопку Параметры → Показать дополнительные параметры, выберите Сброс настроек браузера и нажмите кнопку Сброс (необязательно).