Cheval de Troie Ursu
Fiche d'évaluation menace
Tableau de bord des menaces EnigmaSoft
EnigmaSoft Threat Scorecards sont des rapports d'évaluation de différentes menaces de logiciels malveillants qui ont été collectés et analysés par notre équipe de recherche. Les tableaux de bord des menaces EnigmaSoft évaluent et classent les menaces à l'aide de plusieurs mesures, notamment les facteurs de risque réels et potentiels, les tendances, la fréquence, la prévalence et la persistance. Les cartes de pointage EnigmaSoft Threat sont mises à jour régulièrement sur la base de nos données et mesures de recherche et sont utiles pour un large éventail d'utilisateurs d'ordinateurs, des utilisateurs finaux à la recherche de solutions pour supprimer les logiciels malveillants de leurs systèmes aux experts en sécurité analysant les menaces.
Les tableaux de bord des menaces d'EnigmaSoft affichent une variété d'informations utiles, notamment :
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
Niveau de gravité : le niveau de gravité déterminé d'un objet, représenté numériquement, sur la base de notre processus de modélisation des risques et de nos recherches, comme expliqué dans nos critères d'évaluation des menaces .
Ordinateurs infectés : le nombre de cas confirmés et suspects d'une menace particulière détectée sur des ordinateurs infectés, tel que rapporté par SpyHunter.
Voir aussi Critères d'évaluation des menaces .
| Popularity Rank: | 18,101 |
| Niveau de menace: | 90 % (Haute) |
| Ordinateurs infectés : | 105,072 |
| Vu la première fois: | September 15, 2015 |
| Vu pour la dernière fois : | February 25, 2026 |
| Systèmes d'exploitation concernés: | Windows |
Ursu est un cheval de Troie menaçant qui s'infiltre dans votre ordinateur à votre insu ou sans votre consentement, souvent en exploitant les vulnérabilités du système et les failles de sécurité. Il peut être téléchargé à partir de sites Web corrompus ou de pièces jointes provenant de sources non fiables. Les fichiers militarisés peuvent être de différents types, tels que les fichiers .exe, .pif, .avi et même .jpg.
Une fois installé, Ursu reste caché en arrière-plan et exécutera probablement diverses fonctions nuisibles qui permettent aux pirates de prendre le contrôle total du système de la victime. Les capacités menaçantes du cheval de Troie Ursu peuvent inclure la suppression de fichiers, l'installation de logiciels malveillants supplémentaires, la collecte de mots de passe, la modification des paramètres système et la surveillance de l'activité de l'ordinateur. Comme Ursu n'a pas la capacité de se répliquer, les utilisateurs d'ordinateurs doivent prendre des mesures pour protéger leurs machines contre lui afin d'empêcher son installation sur leurs ordinateurs.
Table des matières
Quelle est la nocivité des menaces telles que le cheval de Troie Ursu
Une menace de cheval de Troie est un logiciel malveillant qui pourrait être injecté ou déguisé en logiciel ou fichier légitime, qui se propage généralement via le partage de fichiers, les téléchargements ou les e-mails. Une fois à l'intérieur de votre ordinateur, il peut causer des dommages en désactivant les fonctions du système, en détournant des informations personnelles, en accédant à d'autres appareils connectés au réseau ou en fournissant à ses opérateurs un accès à distance à l'appareil piraté.
En règle générale, les chevaux de Troie sont utilisés pour permettre aux pirates d'accéder à l'appareil d'un utilisateur, en prenant le contrôle de ses ressources et en ouvrant des opportunités pour d'autres attaques, telles que les rançongiciels et le vol de données. Dans certains cas, ils sont déployés par des pirates pour créer des attaques par déni de service distribué (DDoS) sur les réseaux et les sites Web. Alternativement, ils peuvent être utilisés pour installer des logiciels menaçants supplémentaires sur les PC, tels que des enregistreurs de frappe, des crypto-mineurs, etc.
Comment éviter les attaques de chevaux de Troie Ursu ?
La mise à jour de tous les programmes installés permet de se protéger contre les vulnérabilités de sécurité ciblées par les attaquants. Cela s'applique non seulement à votre système d'exploitation, mais également à toutes les applications que vous pourriez avoir, telles que les navigateurs ou les clients de messagerie. La sauvegarde régulière des données essentielles pourrait constituer un moyen simple de restaurer les données perdues au cas où quelque chose se produirait en raison des effets d'un outil nuisible infiltrant votre machine.
Il est également crucial de toujours faire attention lorsque vous cliquez sur des liens envoyés via des e-mails non sollicités - cette tactique est souvent utilisée par des attaquants essayant d'inciter les utilisateurs à télécharger des fichiers corrompus. Si vous recevez des e-mails suspects contenant des pièces jointes d'expéditeurs inconnus, essayez de ne pas interagir avec eux avant d'avoir réussi à vérifier la légitimité de leurs expéditeurs.
Détails de registre
Bulletin d'analyse
Informations générales
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
Taille du fichier:
740.86 KB, 740864 bytes
|
|
MD5:
afc6d2ec749317227235b3c951971f0f
SHA1:
9e4b676c8eb3afff6966537534693d1f36dab1e4
SHA256:
E935C660D03DD8F022FAB4870E984595D33D78690BAB7CEEABB34CB121A30A6E
Taille du fichier:
13.31 KB, 13312 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have security information
- File is .NET application
- File is 32-bit executable
- File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
Show More
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| Nom | Évaluer |
|---|---|
| Assembly Version | 1.0.0.0 |
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- dll
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 22 |
|---|---|
| Potentially Malicious Blocks: | 3 |
| Whitelisted Blocks: | 17 |
| Unknown Blocks: | 2 |
Visual Map
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- MSIL.Gamehack.OS
- MSIL.Kryptik.AR
- MSIL.Rozena.GG
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | Données | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
| Syscall Use |
Show More
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
