Agent Tesla spyware spredes via Microsoft Word-dokumenter

Agent Tesla spyware Microsoft Word

Agent Tesla malware blev spredt via Microsoft Word dokumenter sidste år, og nu kom det tilbage for at hjemsøge os. Den seneste variant af spyware beder ofrene om at dobbeltklikke på et blåt ikon for at muliggøre en klarere visning i et Word-dokument.

Hvis brugeren er skødesløs nok til at klikke på den, vil dette resultere i ekstraktion af en .exe-fil fra det integrerede objekt i systemets midlertidige mappe og kør den derefter. Dette er kun et eksempel på, hvordan denne malware fungerer.

Malwaren er skrevet i MS Visual Basic

Det malware er skrevet på MS Visual Basic-sproget, og det blev analyseret af Xiaopeng Zhang, der offentliggjorde den detaljerede analyse på sin blog den 5. april.

Den eksekverbare fil, han fandt, blev kaldt POM.exe, og det er en slags installationsprogram. Når dette kørte, faldt det to filer med navnet filename.exe og filename.vbs i undermappen% temp%. For at få det til at køre automatisk ved opstart føjer filen sig til systemregistret som et startprogram, og det kører% temp% filnavn.exe.

Malwaren opretter en suspenderet underordnet proces

Når filename.exe starter, vil dette føre til oprettelsen af ​​en suspenderet underordnet proces med den samme som for at beskytte sig selv.

Herefter udtrækker den en ny PE-fil fra sin egen ressource for at overskrive barnets proceshukommelse. Derefter kommer genoptagelsen af ​​udførelsen af ​​barneprocessen.

  • RELATEREDE: 7 bedste antimalwareværktøjer til Windows 10 til at blokere trusler i 2018

Malwaren dropper et dæmonprogram

Malwaren slipper også et Daemon-program fra .Net-programmets ressource kaldet Player i mappen% temp% og kører det for at beskytte filename.exe. Dæmonens programnavn består af tre tilfældige bogstaver, og dets formål er klart og simpelt.

Den primære funktion modtager et kommandolinjeargument, og det gemmer det i en strengvariabel, der hedder filePath. Efter dette opretter den en trådfunktion, hvorigennem den kontrollerer, om filename.exe kører hver 900 millisekunder. Hvis filename.exe dræbes, kører den igen.

Zhang sagde, at FortiGuard AntiVirus opdagede malware og eliminerede den. Vi anbefaler, at du går igennem Zhangs detaljerede noter for at finde ud af mere om spyware og hvordan det fungerer.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES

  • Hvad er 'Windows har registreret spywareinfektion!' Og hvordan fjernes det?
  • Kan du ikke opdatere spywarebeskyttelse på din computer?
  • Åbn WMV-filer i Windows 10 ved hjælp af disse 5 softwareløsninger
LinkendIn's auto-fill plugin lækker angiveligt brugerdata

LinkendIn's auto-fill plugin lækker angiveligt brugerdataLinkedinCybersikkerhed

Microsoft købt LinkedIn tilbage i 2016, og indtil nu har der ikke været nogen problemer med tjenesten. Du har muligvis fundet LinkedIn AutoFill-plugin nyttigt, men det ser ud til, at der er mere ve...

Læs mere
Mange computere er stadig inficeret med Wannacry ransomware

Mange computere er stadig inficeret med Wannacry ransomwareRansomwareWannacry RansomwareCybersikkerhed

Vidste du, at der stadig er mange, mange computere, der stadig er inficeret med Wannacry ransomware? Jeg må indrømme, at dette var nyt for mig, da jeg først læste det. ”Men hvordan fungerer de, hvi...

Læs mere
Sådan aktiveres TPM 2.0 i forskellige versioner af BIOS

Sådan aktiveres TPM 2.0 i forskellige versioner af BIOSTpmWindows 11Cybersikkerhed

TPM er et Windows 11-krav, så det er vigtigt at vide, hvordan man aktiverer TPM 2.0 fra BIOS.Processen er enkel, og den er næsten den samme for både AMD- og Intel-enheder.Ved at aktivere denne funk...

Læs mere