Agent Tesla-Malware wurde verbreitet über Microsoft Word Dokumente letztes Jahr, und jetzt kam es zurück, um uns zu verfolgen. Die neueste Variante der Spyware fordert die Opfer auf, auf ein blaues Symbol zu doppelklicken, um eine klarere Ansicht in einem Word-Dokument zu ermöglichen.
Wenn der Benutzer unachtsam darauf klickt, wird eine .exe-Datei aus dem eingebetteten Objekt in die Datei extrahiert temporärer Ordner des Systems und dann ausführen. Dies ist nur ein Beispiel dafür, wie diese Malware funktioniert.
Die Malware ist in MS Visual Basic geschrieben
Das Malware ist in der Sprache MS Visual Basic geschrieben und wurde von Xiaopeng Zhang analysiert, der die detaillierte Analyse am 5. April in seinem Blog veröffentlichte.
Die von ihm gefundene ausführbare Datei hieß POM.exe und ist eine Art Installationsprogramm. Als dies ausgeführt wurde, wurden zwei Dateien namens filename.exe und filename.vbs im Unterordner %temp% abgelegt. Damit sie beim Start automatisch ausgeführt wird, fügt sich die Datei als Startprogramm zur Systemregistrierung hinzu und führt %temp%filename.exe aus.
Die Malware erstellt einen ausgesetzten untergeordneten Prozess
Wenn filename.exe gestartet wird, führt dies zur Erstellung eines ausgesetzten untergeordneten Prozesses mit demselben, um sich selbst zu schützen.
Danach extrahiert es eine neue PE-Datei aus seiner eigenen Ressource, um den Speicher des untergeordneten Prozesses zu überschreiben. Dann kommt die Wiederaufnahme der Ausführung des Kindprozesses.
- VERBUNDEN: Die 7 besten Anti-Malware-Tools für Windows 10 zum Blockieren von Bedrohungen im Jahr 2018
Die Malware legt ein Daemon-Programm ab
Die Malware legt auch ein Daemon-Programm aus der Ressource des .Net-Programms namens Player in den Ordner %temp% ab und führt es aus, um filename.exe zu schützen. Der Programmname des Daemons besteht aus drei zufälligen Buchstaben und sein Zweck ist klar und einfach.
Die primäre Funktion empfängt ein Befehlszeilenargument und speichert es in einer String-Variablen namens filePath. Danach wird eine Thread-Funktion erstellt, über die alle 900 Millisekunden überprüft wird, ob filename.exe ausgeführt wird. Wenn filename.exe beendet wird, wird es erneut ausgeführt.
Zhang sagte, dass FortiGuard AntiVirus die Malware erkannt und beseitigt hat. Wir empfehlen, dass Sie durch Zhangs ausführliche Notizen um mehr über die Spyware und ihre Funktionsweise zu erfahren.
VERWANDTE GESCHICHTEN ZUM ANSEHEN:
- Was ist „Windows hat eine Spyware-Infektion erkannt!“ und wie kann man sie entfernen?
- Sie können den Spyware-Schutz auf Ihrem Computer nicht aktualisieren?
- Öffnen Sie WMV-Dateien in Windows 10 mit diesen 5 Softwarelösungen
