Agent Tesla spyware spredes via Microsoft Word-dokumenter

Agent Tesla spyware Microsoft Word

Agent Tesla malware blev spredt via Microsoft Word dokumenter sidste år, og nu kom det tilbage for at hjemsøge os. Den seneste variant af spyware beder ofrene om at dobbeltklikke på et blåt ikon for at muliggøre en klarere visning i et Word-dokument.

Hvis brugeren er skødesløs nok til at klikke på den, vil dette resultere i ekstraktion af en .exe-fil fra det integrerede objekt i systemets midlertidige mappe og kør den derefter. Dette er kun et eksempel på, hvordan denne malware fungerer.

Malwaren er skrevet i MS Visual Basic

Det malware er skrevet på MS Visual Basic-sproget, og det blev analyseret af Xiaopeng Zhang, der offentliggjorde den detaljerede analyse på sin blog den 5. april.

Den eksekverbare fil, han fandt, blev kaldt POM.exe, og det er en slags installationsprogram. Når dette kørte, faldt det to filer med navnet filename.exe og filename.vbs i undermappen% temp%. For at få det til at køre automatisk ved opstart føjer filen sig til systemregistret som et startprogram, og det kører% temp% filnavn.exe.

Malwaren opretter en suspenderet underordnet proces

Når filename.exe starter, vil dette føre til oprettelsen af ​​en suspenderet underordnet proces med den samme som for at beskytte sig selv.

Herefter udtrækker den en ny PE-fil fra sin egen ressource for at overskrive barnets proceshukommelse. Derefter kommer genoptagelsen af ​​udførelsen af ​​barneprocessen.

  • RELATEREDE: 7 bedste antimalwareværktøjer til Windows 10 til at blokere trusler i 2018

Malwaren dropper et dæmonprogram

Malwaren slipper også et Daemon-program fra .Net-programmets ressource kaldet Player i mappen% temp% og kører det for at beskytte filename.exe. Dæmonens programnavn består af tre tilfældige bogstaver, og dets formål er klart og simpelt.

Den primære funktion modtager et kommandolinjeargument, og det gemmer det i en strengvariabel, der hedder filePath. Efter dette opretter den en trådfunktion, hvorigennem den kontrollerer, om filename.exe kører hver 900 millisekunder. Hvis filename.exe dræbes, kører den igen.

Zhang sagde, at FortiGuard AntiVirus opdagede malware og eliminerede den. Vi anbefaler, at du går igennem Zhangs detaljerede noter for at finde ud af mere om spyware og hvordan det fungerer.

RELATEREDE HISTORIER, DER SKAL KONTROLLERES

  • Hvad er 'Windows har registreret spywareinfektion!' Og hvordan fjernes det?
  • Kan du ikke opdatere spywarebeskyttelse på din computer?
  • Åbn WMV-filer i Windows 10 ved hjælp af disse 5 softwareløsninger
Hvad siger du? AMD har 15 sikkerhedssårbarheder, fik Intel 233?

Hvad siger du? AMD har 15 sikkerhedssårbarheder, fik Intel 233?IntelAmdCybersikkerhed

For nylig sammenlignede en sikkerhedsforsker sårbarhedsfortegnelserne over AMD og Intel-hardware. Forskeren skabte en Reddit-tråd for at diskutere resultaterne.Indlægget fremhæver den overraskende ...

Læs mere
Microsoft tilføjer mere AI-sikkerhedsbeskyttelse for Azure-klienter

Microsoft tilføjer mere AI-sikkerhedsbeskyttelse for Azure-klienterMicrosoft AzurblåCybersikkerhed

I øjeblikket Microsoft Azure er en top business cloud-platform.Microsoft underskrev et partnerskab med Abnormal Security for at tilbyde sin AI-drevne løsning til Azure Cloud-klienter.For alle oplys...

Læs mere
Microsofts produktsårbarheder er hackers foretrukne mål

Microsofts produktsårbarheder er hackers foretrukne målCybersikkerhed

Recorded Futures seneste cyberangreb og udnyttelsesrelaterede rapporter viser interessante fakta. Virksomheden sigter mod at organisere og analysere kendte og ukendte trusseldata på avancerede måde...

Læs mere