ينتشر برنامج تجسس العميل Tesla عبر مستندات Microsoft Word

وكيل مايكروسوفت وورد تسلا برامج التجسس

انتشرت البرمجيات الخبيثة للعامل تسلا عبر مايكروسوفت وورد وثائق العام الماضي ، والآن عادت لتطاردنا. تطلب أحدث نسخة من برنامج التجسس من الضحايا النقر نقرًا مزدوجًا فوق رمز أزرق لتمكين عرض أوضح في مستند Word.

إذا كان المستخدم مهملاً بدرجة كافية للنقر عليه ، فسيؤدي ذلك إلى استخراج ملف exe. من الكائن المضمن في المجلد المؤقت للنظام ثم قم بتشغيله. هذا مجرد مثال على كيفية عمل هذه البرامج الضارة.

تمت كتابة البرامج الضارة في MS Visual Basic

ال البرمجيات الخبيثة مكتوب بلغة MS Visual Basic ، وقد تم تحليله بواسطة Xiaopeng Zhang الذي نشر التحليل التفصيلي على مدونته في الخامس من أبريل.

الملف القابل للتنفيذ الذي وجده كان يسمى POM.exe ، وهو نوع من برامج التثبيت. عند تشغيل ذلك ، أسقط ملفين باسم filename.exe و filename.vbs في المجلد الفرعي٪ temp٪. لتشغيله تلقائيًا عند بدء التشغيل ، يضيف الملف نفسه إلى سجل النظام كبرنامج بدء التشغيل ، ويتم تشغيله٪ temp٪ filename.exe.

تخلق البرامج الضارة عملية طفل معلقة

عند بدء تشغيل filename.exe ، سيؤدي ذلك إلى إنشاء عملية تابعة معلقة بنفس الطريقة لحماية نفسها.

بعد ذلك ، سيقوم باستخراج ملف PE جديد من مورده الخاص للكتابة فوق ذاكرة العملية التابعة. ثم يأتي استئناف تنفيذ العملية الفرعية.

  • ذات صلة: أفضل 7 أدوات لمكافحة البرامج الضارة لنظام التشغيل Windows 10 لمنع التهديدات في عام 2018

تسقط البرامج الضارة برنامجًا خفيًا

تقوم البرامج الضارة أيضًا بإسقاط برنامج Daemon من مورد برنامج .Net المسمى Player في المجلد٪ temp٪ وتشغيله لحماية filename.exe. يتكون اسم برنامج الخفي من ثلاثة أحرف عشوائية ، والغرض منه واضح وبسيط.

تتلقى الوظيفة الأساسية وسيطة سطر أوامر ، وتحفظها في متغير سلسلة يسمى filePath. بعد ذلك ، ستنشئ وظيفة مؤشر ترابط تتحقق من خلالها لمعرفة ما إذا كان filename.exe يعمل كل 900 مللي ثانية. إذا تم قتل filename.exe ، فسيتم تشغيله مرة أخرى.

قال تشانغ إن FortiGuard AntiVirus اكتشف البرامج الضارة وأزالها. نوصي أن تذهب من خلال ملاحظات تشانغ المفصلة لمعرفة المزيد حول برامج التجسس وكيفية عملها.

القصص ذات الصلة التي يجب التحقق منها:

  • ما المقصود بمصطلح "اكتشف Windows إصابة ببرنامج تجسس!" وكيفية إزالته؟
  • لا يمكن تحديث الحماية من برامج التجسس على جهاز الكمبيوتر الخاص بك؟
  • افتح ملفات WMV في نظام التشغيل Windows 10 باستخدام هذه الحلول البرمجية الخمسة
احذر: يبدو Fantom ransomware مثل Windows Update ولكنه يدمر بياناتك

احذر: يبدو Fantom ransomware مثل Windows Update ولكنه يدمر بياناتكنصائح لنظام التشغيل Windowsالأمن الإلكتروني

Windows 10 هو كل شيء عن التحديثات. لا يمكنك في الأساس تشغيل النظام بشكل صحيح بدون تثبيت التحديثات هنا وهناك. ولكن تمامًا كما هو الحال مع كل جانب من جوانب Windows ، يجب أن تكون حريصًا عند تنزيل التح...

اقرأ أكثر
تُصدر Malwarebytes امتدادًا جديدًا للمتصفح لمتصفح Chrome و Firefox

تُصدر Malwarebytes امتدادًا جديدًا للمتصفح لمتصفح Chrome و Firefoxقضايا البرامج الضارةالأمن الإلكترونيأدلة Firefoxجوجل كروم

يحاول أوبرا، متصفح بوظائف متنوعة مدمجة بالفعل:يحتوي متصفح رائع مثل Opera على معظم الوظائف بالفعل. إليك ما تم تضمينه افتراضيًا:VPN مدمج لمساعدتك على التصفح بأمانوضع مانع الإعلانات متكامل لتحميل الصف...

اقرأ أكثر
وجد الباحثون خطأ Windows آخر غير مصحح

وجد الباحثون خطأ Windows آخر غير مصححمايكروسوفتالأمن الإلكتروني

اكتشف خبراء الأمان ثغرة أمنية في نظام التشغيل Windows تم تصنيفها على أنها متوسطة الخطورة. هذا يسمح للمهاجمين عن بعد بتنفيذ تعليمات برمجية عشوائية وهي موجودة في معالجة كائنات الخطأ في JScript. لم تط...

اقرأ أكثر