Malware agenta Tesla se rozšířil prostřednictvím Microsoft Word dokumenty minulý rok, a teď se to v nás vrátilo. Nejnovější varianta spywaru žádá oběti, aby dvakrát klikly na modrou ikonu a umožnily tak jasnější zobrazení v dokumentu Word.
Pokud je uživatel dostatečně neopatrný, aby na něj klikl, bude to mít za následek extrakci souboru .exe z vloženého objektu do dočasná složka systému a potom jej spusťte. Toto je pouze příklad toho, jak tento malware funguje.
Malware je napsán v jazyce MS Visual Basic
The malware je napsán v jazyce MS Visual Basic a analyzoval jej Xiaopeng Zhang, který 5. dubna zveřejnil podrobnou analýzu na svém blogu.
Nalezený spustitelný soubor se jmenoval POM.exe a je to jakýsi instalační program. Když to běželo, byly do podadresáře% temp% vypuštěny dva soubory s názvem filename.exe a filename.vbs. Aby se soubor spustil automaticky při spuštění, přidá se soubor do systémového registru jako spouštěcí program a spustí soubor% temp% filename.exe.
Malware vytváří pozastavený podřízený proces
Při spuštění souboru název_souboru.exe to povede k vytvoření pozastaveného podřízeného procesu se stejným, aby se chránilo.
Poté extrahuje nový soubor PE ze svého vlastního zdroje, aby přepsal paměť podřízeného procesu. Poté přichází obnovení provádění podřízeného procesu.
- PŘÍBUZNÝ: 7 nejlepších antimalwarových nástrojů pro Windows 10 k blokování hrozeb v roce 2018
Malware upustí program démona
Malware také vypustí program Daemon ze zdroje programu .Net nazvaného Player do složky% temp% a spustí jej, aby ochránil název souboru.exe. Název programu démona je tvořen třemi náhodnými písmeny a jeho účel je jasný a jednoduchý.
Primární funkce přijme argument příkazového řádku a uloží jej do proměnné řetězce, která se nazývá filePath. Poté vytvoří funkci podprocesu, pomocí které kontroluje, zda je soubor.exe.exe spuštěn každých 900 milisekund. Pokud je soubor.exe zabit, bude spuštěn znovu.
Zhang uvedl, že FortiGuard AntiVirus detekoval malware a odstranil jej. Doporučujeme projít Zhangovy podrobné poznámky zjistit více o spywaru a jeho fungování.
SOUVISEJÍCÍ PŘÍBĚHY K ODHLÁŠENÍ:
- Co je „Windows detekovalo spywarovou infekci!“ A jak ji odstranit?
- Nelze aktualizovat ochranu před spywarem v počítači?
- Otevřete soubory WMV ve Windows 10 pomocí těchto 5 softwarových řešení
