Spyware agenta Tesla se šíří prostřednictvím dokumentů Microsoft Word

Agent Tesla spyware Microsoft Word

Malware agenta Tesla se rozšířil prostřednictvím Microsoft Word dokumenty minulý rok, a teď se to v nás vrátilo. Nejnovější varianta spywaru žádá oběti, aby dvakrát klikly na modrou ikonu a umožnily tak jasnější zobrazení v dokumentu Word.

Pokud je uživatel dostatečně neopatrný, aby na něj klikl, bude to mít za následek extrakci souboru .exe z vloženého objektu do dočasná složka systému a potom jej spusťte. Toto je pouze příklad toho, jak tento malware funguje.

Malware je napsán v jazyce MS Visual Basic

The malware je napsán v jazyce MS Visual Basic a analyzoval jej Xiaopeng Zhang, který 5. dubna zveřejnil podrobnou analýzu na svém blogu.

Nalezený spustitelný soubor se jmenoval POM.exe a je to jakýsi instalační program. Když to běželo, byly do podadresáře% temp% vypuštěny dva soubory s názvem filename.exe a filename.vbs. Aby se soubor spustil automaticky při spuštění, přidá se soubor do systémového registru jako spouštěcí program a spustí soubor% temp% filename.exe.

Malware vytváří pozastavený podřízený proces

Při spuštění souboru název_souboru.exe to povede k vytvoření pozastaveného podřízeného procesu se stejným, aby se chránilo.

Poté extrahuje nový soubor PE ze svého vlastního zdroje, aby přepsal paměť podřízeného procesu. Poté přichází obnovení provádění podřízeného procesu.

  • PŘÍBUZNÝ: 7 nejlepších antimalwarových nástrojů pro Windows 10 k blokování hrozeb v roce 2018

Malware upustí program démona

Malware také vypustí program Daemon ze zdroje programu .Net nazvaného Player do složky% temp% a spustí jej, aby ochránil název souboru.exe. Název programu démona je tvořen třemi náhodnými písmeny a jeho účel je jasný a jednoduchý.

Primární funkce přijme argument příkazového řádku a uloží jej do proměnné řetězce, která se nazývá filePath. Poté vytvoří funkci podprocesu, pomocí které kontroluje, zda je soubor.exe.exe spuštěn každých 900 milisekund. Pokud je soubor.exe zabit, bude spuštěn znovu.

Zhang uvedl, že FortiGuard AntiVirus detekoval malware a odstranil jej. Doporučujeme projít Zhangovy podrobné poznámky zjistit více o spywaru a jeho fungování.

SOUVISEJÍCÍ PŘÍBĚHY K ODHLÁŠENÍ:

  • Co je „Windows detekovalo spywarovou infekci!“ A jak ji odstranit?
  • Nelze aktualizovat ochranu před spywarem v počítači?
  • Otevřete soubory WMV ve Windows 10 pomocí těchto 5 softwarových řešení
Windows Defender získává nové funkce pokročilé ochrany před hrozbami

Windows Defender získává nové funkce pokročilé ochrany před hrozbamiMicrosoft Windows DefenderKybernetická Bezpečnost

Kybernetické útoky jsou nepřetržitým zdrojem hrozeb pro všechny spotřebitele, ale podniky se kvůli tomu musí bát o něco více citlivé informace uchovávají na digitálních platformách. V reakci na tut...

Přečtěte si více
Edge Canary a Dev sestavují ve výchozím nastavení prevenci sledování

Edge Canary a Dev sestavují ve výchozím nastavení prevenci sledováníKybernetická Bezpečnost

Microsoft přidal spoustu nové vlastnosti jejich Chromový prohlížeč nedávno.Nyní, poté, co jsme to poprvé oznámili na Build 2019 a později povolili experimentální funkci v Edge Canary a Dev, Sledová...

Přečtěte si více
Společnost Kaspersky zjistila další chybu zabezpečení systému Windows 0

Společnost Kaspersky zjistila další chybu zabezpečení systému Windows 0Novinky Ve Windows 10Kybernetická Bezpečnost

Společnost Kaspersky nedávno zveřejnila příspěvek na blogu, který varoval uživatele systému Windows před chybou zabezpečení, která ovlivnila všechny podporované verze operačního systému. Prodejce z...

Přečtěte si více