Agent Tesla spyware spredes via Microsoft Word-dokumenter

Agent Tesla spyware Microsoft Word

Agent Tesla malware blev spredt via Microsoft Word dokumenter sidste år, og nu kom det tilbage for at hjemsøge os. Den seneste variant af spyware beder ofrene om at dobbeltklikke på et blåt ikon for at muliggøre en klarere visning i et Word-dokument.

Hvis brugeren er skødesløs nok til at klikke på den, vil dette resultere i ekstraktion af en .exe-fil fra det integrerede objekt i systemets midlertidige mappe og kør den derefter. Dette er kun et eksempel på, hvordan denne malware fungerer.

Malwaren er skrevet i MS Visual Basic

Det malware er skrevet på MS Visual Basic-sproget, og det blev analyseret af Xiaopeng Zhang, der offentliggjorde den detaljerede analyse på sin blog den 5. april.

Den eksekverbare fil, han fandt, blev kaldt POM.exe, og det er en slags installationsprogram. Når dette kørte, faldt det to filer med navnet filename.exe og filename.vbs i undermappen% temp%. For at få det til at køre automatisk ved opstart føjer filen sig til systemregistret som et startprogram, og det kører% temp% filnavn.exe.

Malwaren opretter en suspenderet underordnet proces

Når filename.exe starter, vil dette føre til oprettelsen af ​​en suspenderet underordnet proces med den samme som for at beskytte sig selv.

Herefter udtrækker den en ny PE-fil fra sin egen ressource for at overskrive barnets proceshukommelse. Derefter kommer genoptagelsen af ​​udførelsen af ​​barneprocessen.

  • RELATEREDE: 7 bedste antimalwareværktøjer til Windows 10 til at blokere trusler i 2018

Malwaren dropper et dæmonprogram

Malwaren slipper også et Daemon-program fra .Net-programmets ressource kaldet Player i mappen% temp% og kører det for at beskytte filename.exe. Dæmonens programnavn består af tre tilfældige bogstaver, og dets formål er klart og simpelt.

Den primære funktion modtager et kommandolinjeargument, og det gemmer det i en strengvariabel, der hedder filePath. Efter dette opretter den en trådfunktion, hvorigennem den kontrollerer, om filename.exe kører hver 900 millisekunder. Hvis filename.exe dræbes, kører den igen.

Zhang sagde, at FortiGuard AntiVirus opdagede malware og eliminerede den. Vi anbefaler, at du går igennem Zhangs detaljerede noter for at finde ud af mere om spyware og hvordan det fungerer.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES

  • Hvad er 'Windows har registreret spywareinfektion!' Og hvordan fjernes det?
  • Kan du ikke opdatere spywarebeskyttelse på din computer?
  • Åbn WMV-filer i Windows 10 ved hjælp af disse 5 softwareløsninger
Præsident Obama vælger Microsoft-medarbejder til cybersikkerhedsteam !!

Præsident Obama vælger Microsoft-medarbejder til cybersikkerhedsteam !!Cybersikkerhed

Med hackere fra hele verden, der er målrettet mod USA, har landet absolut brug for et løft i dets cybersikkerhed og med da det er tilfældet, har præsident Mr. Barrack Obama besluttet at udpege nye ...

Læs mere
Ny Notepad-opdatering løser Vault 7-privatlivssårbarheder

Ny Notepad-opdatering løser Vault 7-privatlivssårbarhederNotesblokCybersikkerhed

Notesblok++ er en af ​​de mest populære gratis kildetekstredigerere for sin brugervenlighed. Understøtter flere sprog kører det i MS Windows-økosystemet under GPL-licensen og bruger Win32 API og ST...

Læs mere
10+ bedste USB-kontrolsoftware til pc [2021 Guide]

10+ bedste USB-kontrolsoftware til pc [2021 Guide]CybersikkerhedWindows Software

Tidsbesparende software- og hardwareekspertise, der hjælper 200 millioner brugere årligt. Vejleder dig med vejledning, nyheder og tip til at opgradere dit tekniske liv.En anden USB-kontrolsoftware ...

Læs mere