Spyware von Agent Tesla verbreitet sich über Microsoft Word-Dokumente

Agent Tesla Spyware Microsoft Word

Agent Tesla-Malware wurde verbreitet über Microsoft Word Dokumente letztes Jahr, und jetzt kam es zurück, um uns zu verfolgen. Die neueste Variante der Spyware fordert die Opfer auf, auf ein blaues Symbol zu doppelklicken, um eine klarere Ansicht in einem Word-Dokument zu ermöglichen.

Wenn der Benutzer unachtsam darauf klickt, wird eine .exe-Datei aus dem eingebetteten Objekt in die Datei extrahiert temporärer Ordner des Systems und dann ausführen. Dies ist nur ein Beispiel dafür, wie diese Malware funktioniert.

Die Malware ist in MS Visual Basic geschrieben

Das Malware ist in der Sprache MS Visual Basic geschrieben und wurde von Xiaopeng Zhang analysiert, der die detaillierte Analyse am 5. April in seinem Blog veröffentlichte.

Die von ihm gefundene ausführbare Datei hieß POM.exe und ist eine Art Installationsprogramm. Als dies ausgeführt wurde, wurden zwei Dateien namens filename.exe und filename.vbs im Unterordner %temp% abgelegt. Damit sie beim Start automatisch ausgeführt wird, fügt sich die Datei als Startprogramm zur Systemregistrierung hinzu und führt %temp%filename.exe aus.

Die Malware erstellt einen ausgesetzten untergeordneten Prozess

Wenn filename.exe gestartet wird, führt dies zur Erstellung eines ausgesetzten untergeordneten Prozesses mit demselben, um sich selbst zu schützen.

Danach extrahiert es eine neue PE-Datei aus seiner eigenen Ressource, um den Speicher des untergeordneten Prozesses zu überschreiben. Dann kommt die Wiederaufnahme der Ausführung des Kindprozesses.

  • VERBUNDEN: Die 7 besten Anti-Malware-Tools für Windows 10 zum Blockieren von Bedrohungen im Jahr 2018

Die Malware legt ein Daemon-Programm ab

Die Malware legt auch ein Daemon-Programm aus der Ressource des .Net-Programms namens Player in den Ordner %temp% ab und führt es aus, um filename.exe zu schützen. Der Programmname des Daemons besteht aus drei zufälligen Buchstaben und sein Zweck ist klar und einfach.

Die primäre Funktion empfängt ein Befehlszeilenargument und speichert es in einer String-Variablen namens filePath. Danach wird eine Thread-Funktion erstellt, über die alle 900 Millisekunden überprüft wird, ob filename.exe ausgeführt wird. Wenn filename.exe beendet wird, wird es erneut ausgeführt.

Zhang sagte, dass FortiGuard AntiVirus die Malware erkannt und beseitigt hat. Wir empfehlen, dass Sie durch Zhangs ausführliche Notizen um mehr über die Spyware und ihre Funktionsweise zu erfahren.

VERWANDTE GESCHICHTEN ZUM ANSEHEN:

  • Was ist „Windows hat eine Spyware-Infektion erkannt!“ und wie kann man sie entfernen?
  • Sie können den Spyware-Schutz auf Ihrem Computer nicht aktualisieren?
  • Öffnen Sie WMV-Dateien in Windows 10 mit diesen 5 Softwarelösungen
Ist der Papageientaucher-Browser sicher? Das müssen Sie wissen

Ist der Papageientaucher-Browser sicher? Das müssen Sie wissenOnlinesicherheit

Die Auswahl des richtigen Browsers ist keine einfache Aufgabe, und viele Benutzer haben Puffin zu ihrem bevorzugten Browser gemacht.Puffin bietet solide Funktionen, aber viele Benutzer fragen sich,...

Weiterlesen
Microsoft hat sich verpflichtet, Updates für Huawei-Laptops anzubieten

Microsoft hat sich verpflichtet, Updates für Huawei-Laptops anzubietenHuaweiMicrosoftOnlinesicherheit

Microsoft und Intel haben versprochen, weiterhin Sicherheits- und Treiberupdates für bestehende Huawei-Produkte zu veröffentlichen.Diese Nachricht kommt wie ein Hauch frischer Luft nach der Entsche...

Weiterlesen
Windows 10 Anniversay Update bringt TPM 2.0-Unterstützung für alle Windows 10-Geräte

Windows 10 Anniversay Update bringt TPM 2.0-Unterstützung für alle Windows 10-GeräteWindows 10Onlinesicherheit

Sicherheit war für Microsoft schon immer eine Priorität, mit Ergebnissen, die so zufriedenstellend sind, dass Präsident Obama selbst einen Microsoft-Mitarbeiter für sein Cybersicherheitsteam ausgew...

Weiterlesen