Agent Tesla spyware spredes via Microsoft Word-dokumenter

Agent Tesla spyware Microsoft Word

Agent Tesla malware blev spredt via Microsoft Word dokumenter sidste år, og nu kom det tilbage for at hjemsøge os. Den seneste variant af spyware beder ofrene om at dobbeltklikke på et blåt ikon for at muliggøre en klarere visning i et Word-dokument.

Hvis brugeren er skødesløs nok til at klikke på den, vil dette resultere i ekstraktion af en .exe-fil fra det integrerede objekt i systemets midlertidige mappe og kør den derefter. Dette er kun et eksempel på, hvordan denne malware fungerer.

Malwaren er skrevet i MS Visual Basic

Det malware er skrevet på MS Visual Basic-sproget, og det blev analyseret af Xiaopeng Zhang, der offentliggjorde den detaljerede analyse på sin blog den 5. april.

Den eksekverbare fil, han fandt, blev kaldt POM.exe, og det er en slags installationsprogram. Når dette kørte, faldt det to filer med navnet filename.exe og filename.vbs i undermappen% temp%. For at få det til at køre automatisk ved opstart føjer filen sig til systemregistret som et startprogram, og det kører% temp% filnavn.exe.

Malwaren opretter en suspenderet underordnet proces

Når filename.exe starter, vil dette føre til oprettelsen af ​​en suspenderet underordnet proces med den samme som for at beskytte sig selv.

Herefter udtrækker den en ny PE-fil fra sin egen ressource for at overskrive barnets proceshukommelse. Derefter kommer genoptagelsen af ​​udførelsen af ​​barneprocessen.

  • RELATEREDE: 7 bedste antimalwareværktøjer til Windows 10 til at blokere trusler i 2018

Malwaren dropper et dæmonprogram

Malwaren slipper også et Daemon-program fra .Net-programmets ressource kaldet Player i mappen% temp% og kører det for at beskytte filename.exe. Dæmonens programnavn består af tre tilfældige bogstaver, og dets formål er klart og simpelt.

Den primære funktion modtager et kommandolinjeargument, og det gemmer det i en strengvariabel, der hedder filePath. Efter dette opretter den en trådfunktion, hvorigennem den kontrollerer, om filename.exe kører hver 900 millisekunder. Hvis filename.exe dræbes, kører den igen.

Zhang sagde, at FortiGuard AntiVirus opdagede malware og eliminerede den. Vi anbefaler, at du går igennem Zhangs detaljerede noter for at finde ud af mere om spyware og hvordan det fungerer.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES

  • Hvad er 'Windows har registreret spywareinfektion!' Og hvordan fjernes det?
  • Kan du ikke opdatere spywarebeskyttelse på din computer?
  • Åbn WMV-filer i Windows 10 ved hjælp af disse 5 softwareløsninger
Denne Instagram-fejl kunne have ladet nogen hacke din konto

Denne Instagram-fejl kunne have ladet nogen hacke din kontoInstagramWindows 10Cybersikkerhed

Det er ikke første gang det Facebookog Instagram står over for sikkerhedsproblemer. Der er en lang historie med bugs og Facebook mangler, nogle mindre og andre med enorm indflydelse.Lad os ikke gle...

Læs mere
Testangreb afslører Intel SGX-sikkerhedssårbarheder

Testangreb afslører Intel SGX-sikkerhedssårbarhederIntelCybersikkerhed

Et nyligt offentliggjort bevis for koncept afslører sikkerhedssvagheder i Intel SGX eller Software Guard Extensions.Forskere har med held overtrådt SGX-enklaver og fået adgang til fortrolige data.T...

Læs mere
Kan VPN ødelægge din telefon? Er VPNs sikre på telefoner?

Kan VPN ødelægge din telefon? Er VPNs sikre på telefoner?TelefonsvindelVpnCybersikkerhed

En masse misforståelser vedrørende VPN-brug flyder uhindret på de enorme kanaler på Internettet, som om VPN ikke kan ødelægge din telefon eller ej. Sandheden er, at VPN alene umuligt ikke kan bryde...

Læs mere