Агент Tesla шпионски софтуер се разпространява чрез документи на Microsoft Word

Зловредният софтуер на агент Tesla се разпространи чрез Майкрософт Уърд документи миналата година и сега се върна, за да ни преследва. Последният вариант на шпионския софтуер изисква от жертвите да щракнат двукратно върху синя икона, за да се даде възможност за по-ясен изглед в документ на Word.

Ако потребителят е достатъчно небрежен, за да щракне върху него, това ще доведе до извличане на .exe файл от вградения обект в временната папка на системата и след това го стартирайте. Това е само пример за това как работи този зловреден софтуер.

Зловредният софтуер е написан в MS Visual Basic

The злонамерен софтуер е написана на езика MS Visual Basic и е анализирана от Xiaopeng Zhang, който публикува подробния анализ в своя блог на 5 април.

Намереният от него изпълним файл се нарича POM.exe и е нещо като програма за инсталиране. Когато това се изпълни, той пусна два файла с име filename.exe и filename.vbs в подпапката% temp%. За да се стартира автоматично при стартиране, файлът се добавя към системния регистър като стартираща програма и изпълнява% temp% filename.exe.

Злонамереният софтуер създава спрян дъщерен процес

Когато filename.exe стартира, това ще доведе до създаване на спрян дъщерен процес със същия, за да се защити.

След това той ще извлече нов PE файл от собствения си ресурс, за да презапише паметта на дъщерния процес. След това идва възобновяването на изпълнението на детския процес.

• СВЪРЗАНИ: 7 най-добри антималуерни инструменти за Windows 10 за блокиране на заплахи през 2018 г.

Злонамереният софтуер изпуска демон програма

Злонамереният софтуер също пуска програма Daemon от ресурса на програмата .Net, наречена Player, в папката% temp% и я стартира, за да защити filename.exe. Името на програмата на демона се състои от три произволни букви и целта му е ясна и проста.

Основната функция получава аргумент от командния ред и го записва в низ променлива, която се нарича filePath. След това ще създаде функция на нишка, чрез която проверява дали filename.exe работи на всеки 900 милисекунди. Ако filename.exe бъде убит, той ще се стартира отново.

Джанг каза, че FortiGuard AntiVirus е открил зловредния софтуер и го елиминирал. Препоръчваме ви да преминете Подробни бележки на Zhang за да научите повече за шпионския софтуер и как работи.

СВЪРЗАНИ ИСТОРИИ ЗА ПРОВЕРКА:

• Какво е ‘Windows е открил шпионски софтуер!’ И как да го премахна?
• Не можете да актуализирате защитата от шпионски софтуер на вашия компютър?
• Отворете WMV файлове в Windows 10, като използвате тези 5 софтуерни решения