Na DarkHydrus Trojan je nebezpečná zbraň použiť proti užívateľov počítačov po celom svete. Napáda hlavne prostredníctvom infikovaných dokumentov. Náš článok poskytuje prehľad o jeho správania podľa zozbieraných vzoriek a dostupné správy, tiež to môže byť užitočné pri pokuse odstrániť tento vírus.
Na DarkHydrus Trojan je pomenovaný po trestného kolektívnej za to. Jeho kód je na báze staršej vzorky známy ako RogueRobin Trojan. Zistené útok kampaň obsahuje niekoľko odlišných verziách infikovaných dokumentov, špeciálne Excel dokumenty s .xlsm rozšírenie. Keď sú otvorené Bezpečnostné Upozornenie riadku bude zobrazená požiadať užívateľov, aby umožnili vstavané obsahu. Analýza dokumentu vyplýva, že získané vzorky boli vyrobené v decembri 2018 a januára 2019. To je veľmi možné, že iné formáty sú tiež použiť na rovnaký účel: databáz, tabuliek a textové dokumenty. Akonáhle skripty sú povolené, oni spustia PowerShell skriptu, ktorá bude viesť k |Trojan inštalácie. Úpravy na kľúčové systémové údaje sa nastaviť tak, aby automaticky sa spustí, keď počítač je spustený.
Počas tejto kampane sa v súčasnosti používa dokumenty, ako hlavné zaťaženie dodanie zariadenie existujú aj iné metódy, ktoré možno považovať za hackermi. Niektoré z nich patria:
- Infikovaný Softvér Inštalatérov — A podobné stratégia je vložiť Trojan dodanie kód do inštalačných súborov z populárnych aplikácií, ktoré sú často prevzali od koncových používateľov. Príklad programy zahŕňajú systémové nástroje, tvorivosť suites, optimalizácia nástrojov a produktivity apps. Keď sú súbory spustiť DarkHydrus Trojan budú nasadené.
- E-mailové Správy neoprávneného získavania údajov — Tradičné ransomware dodanie je vyrobený vysiela správy, ktoré napodobňujú legitímne oznámenia zaslané prostredníctvom e-maily. Oni budú často vydávať známych spoločností, produktov a služieb podľa ich kopírovanie tela rozloženie a text. Hneď ako obete komunikovať s ľubovoľným škodlivé prvky alebo súboru prílohy infekcie sa začala.
- Škodlivé Weby —, Aby infekcie častejšie hackeri mohli model falošné stránky, ktoré napodobenie legitímnych vstupné stránky, predajca softvéru stránky, stiahnuť portály a pod. Vždy, keď obete, spolupracuje s niektorou z prvky DarkHydrus Trojan infekcie budú získané —, môže to byť pri preberaní súboru alebo jednoducho kliknutím na skriptu.
- Prehliadač Únoscov — sú to prehliadač-založené pluginy, ktoré sú vyrobené hackermi a zvyčajne sú nasadené na príslušných tried. Toto je robené s falošnými developer poverenia a recenzie. Ich popisy bude obsahovať sľuby vylepšenia výkonu alebo pridanie nových funkcií.
Ako DarkHydrus Trojan je založený na zdrojovom kóde staršej hrozbe mnohí z jeho funkčnosť wll byť zdieľané. Počas inštalácie vírus hrozba bude možné nastaviť na spustenie zakaždým, keď je počítač zapnutý, ktorý je veľmi ťažké odstrániť. Druhý príkaz, ktorý je v prevádzke hneď, ako infekcia došlo, je bezpečnosť bypass funkciu. To bude skenovať infikovanom počítači pamäti a hľadať pre všetky nainštalované virtuálny stroj hostitelia, ladiace nástroje alebo pieskovisko prostredia, ktoré môžu byť použité security specialist analyzovať ho. Motor sa okamžite vypnite sám nadol, ak zistí, že táto aplikácia alebo služba spustená.
Trojan potom nastaviť pripojenie k hacker-riadené serverom pomocou regulárnych výrazov. Jeho zaujímavé, že toto je robené cez DNS dotazy a vlastné požiadavky. Výraznou črtou tejto konkrétnej malware je to, že sa bude stavať subdomény pre jednotlivé infekcie. Kód analýza ukazuje zoznam dostupných príkazov:
- ^zabiť — Toto poučí závit obsahujúce Trojan, aby sa zabil
- ^$fileDownload — daný súbor má byť odovzdané na hacker-riadený server
- ^$importModule — Runs PowerShell stupňa a pridá ich do “moduly” zoznam
- ^$x_mode — Prepne na alternatívnu “x_mode” mód, ktorý prepne na alternatívnu príkaz kanál
- ^$ClearModules — Vymaže predtým bežať “moduly” zoznam
- ^$fileUpload — Tento príkaz sa používa na nastavenie cestu, ktorá sa nový súbor na odoslanie.
- ^testmode — Toto beží v testovacej funkcie, ktoré kontroluje, či sa spojenie môže byť bezpečne vykonané hacker-riadený server
- ^showconfig — To bude generovať aktuálnu konfiguráciu infekcie motora
- ^changeConfig — Toto bude vyvolať zmeny konfigurácie, ktoré trvá odoslané vstupných parametrov a uloží ich na miestne stupňa
- ^slp — Toto wil nastavenie režimu spánku a jitter hodnoty
- ^ukončiť — Východy Trojan stupňa
Nový variant DarkHydrus Trojan bol nájdený ak chcete používať službu Google Drive ako inštrumentálne úloţiska dodať hacker príkazy. Toto je robené tým, že nahráte súbor preddefinovaných hacker účet a neustále kontrolujú sa všetky zmeny v dokumente. Všetky zadali príkaz vykoná podľa zadaného polia. Všetky chnages na nahral dokument sa považujú za pracovné miesta, ktoré budú bežať na infikovaných počítačov. Autentifikácia na službu je možné pomocou špeciálnych príkazov, ktoré sú špecifické pre službu Disk Google schémy. Osobitný prístup tokeny sú prevzaté pred prístup je uvedený na dokumente.
Komplexná sieť domén bolo zjavené, ktorý ukazuje, že veľa práce bol realizovaný s cieľom vytvoriť Trojan a jeho infraštruktúry. Jeho kód analýza ukazuje, že je schopný vykonávať poškodenie systémov a uniesť citlivé údaje. Toto sa vykonáva prostredníctvom špeciálneho skript, ktorý používa zhromaždené informácie vytvárať jedinečné ID stroja. Existujú dve kategórie informácií, ktoré sú zvyčajne považované:
- Osobné Informácie — motor bude hľadať pre reťazce, ktoré môžete priamo vystaviť identity obete používateľov. Trojan môže byť poučení nielen vyhĺadajte v pamäti, ale aj obsah pevného disku, vymeniteľných zariadení a dostupné siete akcie. Údaje o úrokových obsahuje meno, adresu, telefónne číslo, údaje o polohe a všetky uložené poverenia konta. Zhromaždené informácie môžu byť použité na vykonanie trestných činov, ako sú krádeže identity a finančné zneužívanie.
- Stroj Informácie — Trojan môže generovať správy z nainštalované hardvérové prvky a nastavenia systému. Rozsiahle údaje sú užitočné v záujme určiť, aký druh počítače sú infikované. Štatistické informácie sú užitočné pri návrhu aktualizácie pre Trojan.
Existujú rôzne používa pre Trojan, ktorý môže byť oveľa viac ako jednoduchý predbehnúť z infikovaných počítačov. Použitie komplexnej infraštruktúry a komplexných bezpečnostných obísť kroky na začiatku infekcie rutinné ukazuje, že cieľ obete sú pravdepodobne korporácie alebo vládnych agentúr. Je veľmi pravdepodobné, že akékoľvek budúce verzie sa môžu pridať v novších funkcie a zvyšujú už povolená ty. Použitie služby Google Drive infraštruktúry môže robiť to ťažšie pre všetkých správcov siete, aby oznámenie infekcie ako Trojan predpokladá sa, že klienti kontaktovať nezvyčajné hacker-riadený servery.
Údaje krádež schopnosť dáva bezpečnostní analytici dôvody domnievať sa, že to môže byť zbraň pre sabotáž účely. Motor môže zhromažďovať veľké množstvo informácií cez obe kategórie informácií, potenciálne prístup k sieti disky ako dobre. V prípade, kde nie je koordinovaný útok proti daný podnik to by mohlo byť veľmi silnou zbraňou.
Vykonané kód analýza ukazuje, že Trojan je schopný prístup a modifikáciu širokú škálu systémových údajov:
- Windows Registry — Úpravy Windows Registra, môžu ohroziť aj hodnoty, ktoré používajú operačný systém a všetky aplikácie tretej strany. To môže viesť k vážnym problémy s výkonom a nemožnosti prístupu na niektoré služby alebo funkcie, ktoré sú bežne používaný koncovým používateľom. Úpravy na položky patriace do akejkoľvek tretej strany aplikácie môžu spôsobiť neočakávané chyby.
- Boot Options — je To v poriadku, ak chcete nastaviť Trojan, automaticky sa spustí, keď počítač je zapnutý. Niektoré opatrenia môžu znemožniť prístup k obnove boot menu a nastavenia, ktoré je možné použiť väčšinu manuálne obnovenie sprievodcov.
- Systémové Údaje — motor môže byť použitý pre vyhľadávanie a identity žiadne zálohy, body obnovenia Systému a ďalšie súbory, ktoré sa používajú počas rekonvalescencie.
Vzhľadom na skutočnosť, že DarkHydrus Trojan predstavuje komplexné hrozby, ktoré môžu byť spustené na podnikových a vládnych agentúr, ktoré v danom čase, keď príkaz je uvedené všetky existujúce infekcie by sa mali identifikovať a odstrániť tak rýchlo, ako je to možné. Budúce aktualizácie môžete ho premeniť na ešte silnejšie zbraň.
Ak je v počítači systém dostal nakazený s DarkHydrus Trojan Trojan, mali by ste mať trochu skúseností v odstraňovaní škodlivého softvéru. Mali by ste sa zbaviť tohto Trojan, ako rýchlo, ako je to možné skôr, ako to môže mať šancu šíriť ďalej a infikovať ďalšie počítače. Tie by mali odstrániť Trojan a postupujte podľa pokynov krok-za-krokom návod návodu nižšie.
Upozornenie, multiple Anti-Virus Skenery zistili možné malware v DarkHydrus Trojan.
| Anti-virus softvér | Verzia | Detekcia |
|---|---|---|
| Malwarebytes | 1.75.0.1 | PUP.Optional.Wajam.A |
| Baidu-International | 3.5.1.41473 | Trojan.Win32.Agent.peo |
| McAfee | 5.600.0.1067 | Win32.Application.OptimizerPro.E |
| VIPRE Antivirus | 22224 | MalSign.Generic |
| NANO AntiVirus | 0.26.0.55366 | Trojan.Win32.Searcher.bpjlwd |
| Kingsoft AntiVirus | 2013.4.9.267 | Win32.Troj.Generic.a.(kcloud) |
| Tencent | 1.0.0.1 | Win32.Trojan.Bprotector.Wlfh |
| Dr.Web | Adware.Searcher.2467 | |
| ESET-NOD32 | 8894 | Win32/Wajam.A |
| K7 AntiVirus | 9.179.12403 | Unwanted-Program ( 00454f261 ) |
DarkHydrus Trojan správanie
- DarkHydrus Trojan ukazuje komerčné inzeráty
- DarkHydrus Trojan sa pripája k internetu bez vášho súhlasu
- Inštaluje bez povolenia
- Zmeny domovskej stránky používateľa
- Upraví pracovnú plochu a nastavenia prehliadača.
- Distribuuje sám cez pay-per-Inštalácia alebo je dodávaný s tretej-party software.
- DarkHydrus Trojan deaktivuje nainštalovaný bezpečnostný softvér.
- Presmerovanie prehliadača na infikované stránky.
- Integruje do webového prehliadača cez rozšírenie prehliadača DarkHydrus Trojan
- Spoločné DarkHydrus Trojan správanie a niektoré ďalšie textové emplaining som informácie súvisiace správanie
DarkHydrus Trojan uskutočnené verzie Windows OS
- Windows 10
- Windows 8
- Windows 7
- Windows Vista
- Windows XP
DarkHydrus Trojan geografia
Odstránenie DarkHydrus Trojan z Windows
Odstrániť DarkHydrus Trojan od Windows XP:
- Kliknite na Štart otvorte ponuku.
- Vyberte položku Ovládací Panel a prejsť na Pridať alebo odstrániť programy.
- Vybrať a odstrániť nežiaduce program.
Odstrániť DarkHydrus Trojan z vášho Windows 7 a Vista:
- Otvorte ponuku Štart a vyberte Ovládací Panel.
- Prejsť na Odinštalovanie programu
- Kliknite pravým tlačidlom myši na nechcené aplikácie a vyberte odinštalovať.
Vymazať DarkHydrus Trojan z Windows 8 a 8.1:
- Pravým tlačidlom myši kliknite na ľavom dolnom rohu a vyberte Ovládací Panel.
- Vyberte si program odinštalovať a kliknite pravým tlačidlom myši na nechcené aplikácie.
- Kliknite na tlačidlo odinštalovať .
Odstrániť DarkHydrus Trojan z vášho prehliadača
DarkHydrus Trojan Odstránenie z Internet Explorer
- Kliknite na ikonu ozubeného kolieska a vyberte položku Možnosti siete Internet.
- Prejdite na kartu Rozšírené a kliknite na tlačidlo obnoviť.
- Skontrolujte, Odstrániť osobné nastavenia a znova kliknite na tlačidlo obnoviť .
- Kliknite na tlačidlo Zavrieť a vyberte OK.
- Prejsť späť na ikonu ozubeného kolesa, vyberte Spravovať doplnky → Panely s nástrojmi a rozšíreniaa odstrániť nechcené rozšírenia.
- Prejsť na Poskytovateľov vyhľadávania a vyberte nový predvolený vyhľadávač
Vymazať DarkHydrus Trojan od Mozilla Firefox
- Do poľa URL zadajte "about:addons".
- Ideme do rozšírenia a odstrániť podozrivý rozšírenia
- Kliknite na príkaz ponuky, kliknite na otáznik a otvorte Pomocníka Firefox. Kliknite na aktualizovať tlačidlo Firefox a vyberte obnoviť Firefox potvrdiť.
Ukončiť DarkHydrus Trojan od Chrome
- Do poľa URL zadajte v "chrome://extensions" a kliknite na tlačidlo Enter.
- Ukončiť nespoľahlivé prehliadač rozšírenia
- Reštartujte Google Chrome.
- Chrome ponuke kliknite na položku Nastavenia → Zobraziť rozšírené nastavenia, vyberte Reset nastavenia prehliadača, a kliknite na tlačidlo Reset (voliteľné).