ウルス・トロイの木馬
脅威スコアカード
EnigmaSoft脅威スコアカード
EnigmaSoft Threat Scorecards は、当社の調査チームによって収集および分析されたさまざまなマルウェア脅威の評価レポートです。 EnigmaSoft Threat Scorecards は、現実世界および潜在的なリスク要因、傾向、頻度、有病率、永続性など、いくつかの指標を使用して脅威を評価し、ランク付けします。 EnigmaSoft の脅威スコアカードは、当社の調査データと指標に基づいて定期的に更新され、システムからマルウェアを削除するソリューションを求めるエンド ユーザーから、脅威を分析するセキュリティの専門家まで、幅広いコンピューター ユーザーに役立ちます。
EnigmaSoft 脅威スコアカードには、次のようなさまざまな有用な情報が表示されます。
Popularity Rank: The ranking of a particular threat in EnigmaSoft’s Threat Database.
重大度:脅威評価基準で説明されているように、リスク モデリング プロセスと調査に基づいて数値で表された、オブジェクトの決定された重大度レベル。
感染したコンピュータ: SpyHunter によって報告された、感染したコンピュータで検出された特定の脅威の確認済みおよび疑いのあるケースの数。
脅威評価基準も参照してください。
| Popularity Rank: | 18,101 |
| 脅威レベル: | 90 % (高い) |
| 感染したコンピューター: | 105,072 |
| 最初に見た: | September 15, 2015 |
| 最後に見たのは: | February 25, 2026 |
| 影響を受けるOS: | Windows |
Ursu は脅威を与えるトロイの木馬で、多くの場合、システムの脆弱性やセキュリティ上の欠陥を悪用して、知らないうちに同意なしにコンピューターに侵入します。破損した Web サイトや、信頼できないソースからの電子メールの添付ファイルからダウンロードできます。兵器化されたファイルは、.exe、.pif、.avi、さらには .jpg ファイルなど、さまざまな種類のものである可能性があります。
インストールされると、Ursu はバックグラウンドに隠され、攻撃者が被害者のシステムを完全に制御できるようにするさまざまな有害な機能を実行する可能性があります。 Ursu トロイの木馬の脅威的な機能には、ファイルの削除、追加のマルウェアのインストール、パスワードの収集、システム設定の変更、およびコンピュータ アクティビティの監視が含まれる場合があります。 Ursu には自分自身を複製する機能がないため、コンピューター ユーザーはコンピューターへのインストールを防ぐためにコンピューターを保護するための対策を講じる必要があります。
目次
Ursu トロイの木馬のような脅威はどれほど有害か
トロイの木馬の脅威とは、正当なソフトウェアやファイルに挿入されたり、偽装されたりする可能性のあるマルウェアであり、通常、ファイル共有、ダウンロード、または電子メールを介して拡散されます。コンピューターの内部に侵入すると、システム機能の無効化、個人情報の乗っ取り、ネットワークに接続された他のデバイスへのアクセス、侵害されたデバイスへのリモート アクセスをオペレーターに提供することにより、損害を与える可能性があります。
通常、トロイの木馬は、ハッカーがユーザーのデバイスにアクセスできるようにするために使用され、そのリソースを制御して、ランサムウェアやデータ盗難などのさらなる攻撃の機会を開きます。場合によっては、ネットワークや Web サイトで分散型サービス拒否 (DDoS) 攻撃を作成するためにハッカーによって展開されます。あるいは、キーロガーやクリプトマイナーなどの追加の脅威ソフトウェアを PC にインストールするために使用される可能性があります。
Ursu トロイの木馬攻撃を回避するには?
インストールされているすべてのプログラムを最新の状態に保つことは、攻撃者の標的となるセキュリティの脆弱性から保護するのに役立ちます。これは、オペレーティング システムだけでなく、ブラウザや電子メール クライアントなどのアプリケーションにも当てはまります。重要なデータを定期的にバックアップすることで、マシンに侵入した有害なツールの影響で何かが起こった場合に失われたデータを復元する簡単な方法を提供できます.
また、迷惑メールで送信されたリンクをクリックするときは常に注意することが重要です。この戦術は、ユーザーをだまして破損したファイルをダウンロードさせようとする攻撃者によってよく使用されます。不明な送信者からの添付ファイルを含む疑わしい電子メールを受信した場合は、送信者の正当性を確認できるまで、それらとやり取りしないようにしてください。
レジストリの詳細
ウルス・トロイの木馬 は、次のレジストリ エントリまたはレジストリ エントリを作成する可能性があります。
Regexp file mask
%LOCALAPPDATA%\petgame.exe
%UserProfile%\Local Settings\Application Data\petgame.exe
%windir%\branding\[RANDOM CHARACTERS].png
分析レポート
一般情報
| Family Name: | Trojan.Ursu.A |
|---|---|
| Signature status: | No Signature |
Known Samples
Known Samples
This section lists other file samples believed to be associated with this family.|
MD5:
05028cb6c42afa3c0f88162fa4ed96cd
SHA1:
f89be7fece20f436fd5552e904f971b0bcde99e3
SHA256:
4505DFE008D464402C753E1C1FCF1E4EB5D1B486E52BF67FFBE525148383E6E2
ファイルサイズ:
740.86 KB, 740864 bytes
|
|
MD5:
afc6d2ec749317227235b3c951971f0f
SHA1:
9e4b676c8eb3afff6966537534693d1f36dab1e4
SHA256:
E935C660D03DD8F022FAB4870E984595D33D78690BAB7CEEABB34CB121A30A6E
ファイルサイズ:
13.31 KB, 13312 bytes
|
Windows Portable Executable Attributes
- File doesn't have "Rich" header
- File doesn't have debug information
- File doesn't have exports table
- File doesn't have security information
- File is .NET application
- File is 32-bit executable
- File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
- File is either console or GUI application
- File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
- File is Native application (NOT .NET application)
Show More
- File is not packed
- IMAGE_FILE_DLL is not set inside PE header (Executable)
- IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)
File Icons
File Icons
This section displays icon resources found within family samples. Malware often replicates icons commonly associated with legitimate software to mislead users into believing the malware is safe.
Windows PE Version Information
Windows PE Version Information
This section displays values and attributes that have been set in the Windows file version information data structure for samples within this family. To mislead users, malware actors often add fake version information mimicking legitimate software.| ネーム | 価値 |
|---|---|
| Assembly Version | 1.0.0.0 |
| Company Name |
|
| File Description |
|
| File Version |
|
| Internal Name |
|
| Legal Copyright |
|
| Original Filename |
|
| Product Name |
|
| Product Version |
|
File Traits
- .NET
- dll
- x86
Block Information
Block Information
During analysis, EnigmaSoft breaks file samples into logical blocks for classification and comparison with other samples. Blocks can be used to generate malware detection rules and to group file samples into families based on shared source code, functionality and other distinguishing attributes and characteristics. This section lists a summary of this block data, as well as its classification by EnigmaSoft. A visual representation of the block data is also displayed, where available.| Total Blocks: | 22 |
|---|---|
| Potentially Malicious Blocks: | 3 |
| Whitelisted Blocks: | 17 |
| Unknown Blocks: | 2 |
Visual Map
0
0
0
0
0
0
0
0
0
0
?
x
?
x
x
0
0
0
0
0
0
0
0 - Probable Safe Block
? - Unknown Block
x - Potentially Malicious Block
? - Unknown Block
x - Potentially Malicious Block
Similar Families
Similar Families
This section lists other families that share similarities with this family, based on EnigmaSoft’s analysis. Many malware families are created from the same malware toolkits and use the same packing and encryption techniques but uniquely extend functionality. Similar families may also share source code, attributes, icons, subcomponents, compromised and/or invalid digital signatures, and network characteristics. Researchers leverage these similarities to rapidly and effectively triage file samples and extend malware detection rules.- MSIL.Gamehack.OS
- MSIL.Kryptik.AR
- MSIL.Rozena.GG
Files Modified
Files Modified
This section lists files that were created, modified, moved and/or deleted by samples in this family. File system activity can provide valuable insight into how malware functions on the operating system.| File | Attributes |
|---|---|
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\rmm41wz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\sgt41kb.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp000.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\noi55bm.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\seb00mz.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp001.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Show More
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\kyo67cp.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Generic Write,Read Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\mti66.exe | Synchronize,Write Attributes |
| c:\users\user\appdata\local\temp\ixp002.tmp\tmp4351$.tmp | Generic Write,Read Attributes,Delete |
Registry Modifications
Registry Modifications
This section lists registry keys and values that were created, modified and/or deleted by samples in this family. Windows Registry activity can provide valuable insight into malware functionality. Additionally, malware often creates registry values to allow itself to automatically start and indefinitely persist after an initial infection has compromised the system.| Key::Value | データ | API Name |
|---|---|---|
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup0 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup1 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\" | RegNtPreCreateKey |
| HKLM\software\wow6432node\microsoft\windows\currentversion\runonce::wextract_cleanup2 | rundll32.exe C:\WINDOWS\system32\advpack.dll,DelNodeRunDLL32 "C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\" | RegNtPreCreateKey |
Windows API Usage
Windows API Usage
This section lists Windows API calls that are used by the samples in this family. Windows API usage analysis is a valuable tool that can help identify malicious activity, such as keylogging, security privilege escalation, data encryption, data exfiltration, interference with antivirus software, and network request manipulation.| Category | API |
|---|---|
| Process Manipulation Evasion |
|
| Process Shell Execute |
|
| User Data Access |
|
| Encryption Used |
|
| Anti Debug |
|
| Syscall Use |
Show More
|
Shell Command Execution
Shell Command Execution
This section lists Windows shell commands that are run by the samples in this family. Windows Shell commands are often leveraged by malware for nefarious purposes and can be used to elevate security privileges, download and launch other malware, exploit vulnerabilities, collect and exfiltrate data, and hide malicious activity.
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP000.TMP\sgt41Kb.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP001.TMP\sEB00mZ.exe
|
C:\Users\Ygrbwppu\AppData\Local\Temp\IXP002.TMP\kYo67Cp.exe
|
