Spyware von Agent Tesla verbreitet sich über Microsoft Word-Dokumente

Agent Tesla Spyware Microsoft Word

Agent Tesla-Malware wurde verbreitet über Microsoft Word Dokumente letztes Jahr, und jetzt kam es zurück, um uns zu verfolgen. Die neueste Variante der Spyware fordert die Opfer auf, auf ein blaues Symbol zu doppelklicken, um eine klarere Ansicht in einem Word-Dokument zu ermöglichen.

Wenn der Benutzer unachtsam darauf klickt, wird eine .exe-Datei aus dem eingebetteten Objekt in die Datei extrahiert temporärer Ordner des Systems und dann ausführen. Dies ist nur ein Beispiel dafür, wie diese Malware funktioniert.

Die Malware ist in MS Visual Basic geschrieben

Das Malware ist in der Sprache MS Visual Basic geschrieben und wurde von Xiaopeng Zhang analysiert, der die detaillierte Analyse am 5. April in seinem Blog veröffentlichte.

Die von ihm gefundene ausführbare Datei hieß POM.exe und ist eine Art Installationsprogramm. Als dies ausgeführt wurde, wurden zwei Dateien namens filename.exe und filename.vbs im Unterordner %temp% abgelegt. Damit sie beim Start automatisch ausgeführt wird, fügt sich die Datei als Startprogramm zur Systemregistrierung hinzu und führt %temp%filename.exe aus.

Die Malware erstellt einen ausgesetzten untergeordneten Prozess

Wenn filename.exe gestartet wird, führt dies zur Erstellung eines ausgesetzten untergeordneten Prozesses mit demselben, um sich selbst zu schützen.

Danach extrahiert es eine neue PE-Datei aus seiner eigenen Ressource, um den Speicher des untergeordneten Prozesses zu überschreiben. Dann kommt die Wiederaufnahme der Ausführung des Kindprozesses.

  • VERBUNDEN: Die 7 besten Anti-Malware-Tools für Windows 10 zum Blockieren von Bedrohungen im Jahr 2018

Die Malware legt ein Daemon-Programm ab

Die Malware legt auch ein Daemon-Programm aus der Ressource des .Net-Programms namens Player in den Ordner %temp% ab und führt es aus, um filename.exe zu schützen. Der Programmname des Daemons besteht aus drei zufälligen Buchstaben und sein Zweck ist klar und einfach.

Die primäre Funktion empfängt ein Befehlszeilenargument und speichert es in einer String-Variablen namens filePath. Danach wird eine Thread-Funktion erstellt, über die alle 900 Millisekunden überprüft wird, ob filename.exe ausgeführt wird. Wenn filename.exe beendet wird, wird es erneut ausgeführt.

Zhang sagte, dass FortiGuard AntiVirus die Malware erkannt und beseitigt hat. Wir empfehlen, dass Sie durch Zhangs ausführliche Notizen um mehr über die Spyware und ihre Funktionsweise zu erfahren.

VERWANDTE GESCHICHTEN ZUM ANSEHEN:

  • Was ist „Windows hat eine Spyware-Infektion erkannt!“ und wie kann man sie entfernen?
  • Sie können den Spyware-Schutz auf Ihrem Computer nicht aktualisieren?
  • Öffnen Sie WMV-Dateien in Windows 10 mit diesen 5 Softwarelösungen
5 beste kostenlose Anti-Keylogger-Software für Ihren Windows-PC [2020-Liste]

5 beste kostenlose Anti-Keylogger-Software für Ihren Windows-PC [2020-Liste]SoftwareOnlinesicherheit

Wenn Sie Ihren PC vor Keylogging durch Hacker schützen möchten, benötigen Sie die beste Anti-Keylogging-Software, um Ihre Daten zu schützen.Hier finden Sie ein Tool, das alle anfälligen Bereiche Ih...

Weiterlesen
So entfernen Sie von Windows erkannte ZEUS-Viruswarnungen

So entfernen Sie von Windows erkannte ZEUS-ViruswarnungenOnlinesicherheit

Wenn Sie eine Meldung bezüglich des Computervirus Zeus auf Ihrem Windows 10 erhalten, haben Sie möglicherweise Adware oder PUP installiert.Um es zu entfernen, können Sie versuchen, alle verdächtige...

Weiterlesen
3 beste Anti-Pharming-Software für heute [Leitfaden 2021]

3 beste Anti-Pharming-Software für heute [Leitfaden 2021]PharmingOnlinesicherheit

Wenn Sie Pharming-Cyberangriffe auf Ihrem PC vermeiden möchten, benötigen Sie die beste Anti-Pharming-Software.Eine nützliche Lösung kommt von Norton, das ein Tool mit überraschenden Anti-Pharming-...

Weiterlesen