Spyware agenta Tesla se šíří prostřednictvím dokumentů Microsoft Word

Agent Tesla spyware Microsoft Word

Malware agenta Tesla se rozšířil prostřednictvím Microsoft Word dokumenty minulý rok, a teď se to v nás vrátilo. Nejnovější varianta spywaru žádá oběti, aby dvakrát klikly na modrou ikonu a umožnily tak jasnější zobrazení v dokumentu Word.

Pokud je uživatel dostatečně neopatrný, aby na něj klikl, bude to mít za následek extrakci souboru .exe z vloženého objektu do dočasná složka systému a potom jej spusťte. Toto je pouze příklad toho, jak tento malware funguje.

Malware je napsán v jazyce MS Visual Basic

The malware je napsán v jazyce MS Visual Basic a analyzoval jej Xiaopeng Zhang, který 5. dubna zveřejnil podrobnou analýzu na svém blogu.

Nalezený spustitelný soubor se jmenoval POM.exe a je to jakýsi instalační program. Když to běželo, byly do podadresáře% temp% vypuštěny dva soubory s názvem filename.exe a filename.vbs. Aby se soubor spustil automaticky při spuštění, přidá se soubor do systémového registru jako spouštěcí program a spustí soubor% temp% filename.exe.

Malware vytváří pozastavený podřízený proces

Při spuštění souboru název_souboru.exe to povede k vytvoření pozastaveného podřízeného procesu se stejným, aby se chránilo.

Poté extrahuje nový soubor PE ze svého vlastního zdroje, aby přepsal paměť podřízeného procesu. Poté přichází obnovení provádění podřízeného procesu.

  • PŘÍBUZNÝ: 7 nejlepších antimalwarových nástrojů pro Windows 10 k blokování hrozeb v roce 2018

Malware upustí program démona

Malware také vypustí program Daemon ze zdroje programu .Net nazvaného Player do složky% temp% a spustí jej, aby ochránil název souboru.exe. Název programu démona je tvořen třemi náhodnými písmeny a jeho účel je jasný a jednoduchý.

Primární funkce přijme argument příkazového řádku a uloží jej do proměnné řetězce, která se nazývá filePath. Poté vytvoří funkci podprocesu, pomocí které kontroluje, zda je soubor.exe.exe spuštěn každých 900 milisekund. Pokud je soubor.exe zabit, bude spuštěn znovu.

Zhang uvedl, že FortiGuard AntiVirus detekoval malware a odstranil jej. Doporučujeme projít Zhangovy podrobné poznámky zjistit více o spywaru a jeho fungování.

SOUVISEJÍCÍ PŘÍBĚHY K ODHLÁŠENÍ:

  • Co je „Windows detekovalo spywarovou infekci!“ A jak ji odstranit?
  • Nelze aktualizovat ochranu před spywarem v počítači?
  • Otevřete soubory WMV ve Windows 10 pomocí těchto 5 softwarových řešení
Společnost Dell byla hacknuta a doporučuje uživatelům změnit hesla

Společnost Dell byla hacknuta a doporučuje uživatelům změnit heslaObnova HeslaKybernetická BezpečnostProblémy S Počítačem Dell

28. listopadu Dell oznámila, že 9. listopadu „zjistila a narušila neoprávněnou činnost“ v jejich síti. Prohlášení pokračovalo:Po zjištění jsme okamžitě implementovali protiopatření a zahájili vyšet...

Přečtěte si více
Potřebujete antivirus pro Windows 10? [Odpovídáme]

Potřebujete antivirus pro Windows 10? [Odpovídáme]Windows 10AntivirusKybernetická Bezpečnost

Pokud vás zajímá, zda potřebujete antivirus pro Windows 10, připojte se k naší diskusi zde.Program Windows Defender je mnohými považován za antivirový systém Windows 10.Vývoj antivirů a online hroz...

Přečtěte si více
Chrome vylepšuje soukromí prohlížení pomocí nového procesu zpracování souborů cookie

Chrome vylepšuje soukromí prohlížení pomocí nového procesu zpracování souborů cookieKybernetická Bezpečnost

Místo řešení problémů s prohlížečem Chrome můžete zkusit lepší prohlížeč: OperaZasloužíte si lepší prohlížeč! 350 milionů lidí denně používá Opera, což je plnohodnotný navigační zážitek, který přic...

Přečtěte si více