Spyware von Agent Tesla verbreitet sich über Microsoft Word-Dokumente

Agent Tesla Spyware Microsoft Word

Agent Tesla-Malware wurde verbreitet über Microsoft Word Dokumente letztes Jahr, und jetzt kam es zurück, um uns zu verfolgen. Die neueste Variante der Spyware fordert die Opfer auf, auf ein blaues Symbol zu doppelklicken, um eine klarere Ansicht in einem Word-Dokument zu ermöglichen.

Wenn der Benutzer unachtsam darauf klickt, wird eine .exe-Datei aus dem eingebetteten Objekt in die Datei extrahiert temporärer Ordner des Systems und dann ausführen. Dies ist nur ein Beispiel dafür, wie diese Malware funktioniert.

Die Malware ist in MS Visual Basic geschrieben

Das Malware ist in der Sprache MS Visual Basic geschrieben und wurde von Xiaopeng Zhang analysiert, der die detaillierte Analyse am 5. April in seinem Blog veröffentlichte.

Die von ihm gefundene ausführbare Datei hieß POM.exe und ist eine Art Installationsprogramm. Als dies ausgeführt wurde, wurden zwei Dateien namens filename.exe und filename.vbs im Unterordner %temp% abgelegt. Damit sie beim Start automatisch ausgeführt wird, fügt sich die Datei als Startprogramm zur Systemregistrierung hinzu und führt %temp%filename.exe aus.

Die Malware erstellt einen ausgesetzten untergeordneten Prozess

Wenn filename.exe gestartet wird, führt dies zur Erstellung eines ausgesetzten untergeordneten Prozesses mit demselben, um sich selbst zu schützen.

Danach extrahiert es eine neue PE-Datei aus seiner eigenen Ressource, um den Speicher des untergeordneten Prozesses zu überschreiben. Dann kommt die Wiederaufnahme der Ausführung des Kindprozesses.

  • VERBUNDEN: Die 7 besten Anti-Malware-Tools für Windows 10 zum Blockieren von Bedrohungen im Jahr 2018

Die Malware legt ein Daemon-Programm ab

Die Malware legt auch ein Daemon-Programm aus der Ressource des .Net-Programms namens Player in den Ordner %temp% ab und führt es aus, um filename.exe zu schützen. Der Programmname des Daemons besteht aus drei zufälligen Buchstaben und sein Zweck ist klar und einfach.

Die primäre Funktion empfängt ein Befehlszeilenargument und speichert es in einer String-Variablen namens filePath. Danach wird eine Thread-Funktion erstellt, über die alle 900 Millisekunden überprüft wird, ob filename.exe ausgeführt wird. Wenn filename.exe beendet wird, wird es erneut ausgeführt.

Zhang sagte, dass FortiGuard AntiVirus die Malware erkannt und beseitigt hat. Wir empfehlen, dass Sie durch Zhangs ausführliche Notizen um mehr über die Spyware und ihre Funktionsweise zu erfahren.

VERWANDTE GESCHICHTEN ZUM ANSEHEN:

  • Was ist „Windows hat eine Spyware-Infektion erkannt!“ und wie kann man sie entfernen?
  • Sie können den Spyware-Schutz auf Ihrem Computer nicht aktualisieren?
  • Öffnen Sie WMV-Dateien in Windows 10 mit diesen 5 Softwarelösungen
Google Project Zero bringt Microsoft über die Sicherheit von Windows 10 in Aufruhr

Google Project Zero bringt Microsoft über die Sicherheit von Windows 10 in AufruhrOnlinesicherheitGoogle Projekt Null

Windows 10 hat in Bezug auf Sicherheitslücken eine ziemlich saubere Bilanz geführt. Obwohl es nicht perfekt ist, kann man sagen, dass Microsoft gute Arbeit geleistet hat Windows 10 gepatcht halten ...

Weiterlesen
Nicht gepatchte MS Exchange Server, die für Remote-Angriffe anfällig sind

Nicht gepatchte MS Exchange Server, die für Remote-Angriffe anfällig sindMicrosoft ExchangeOnlinesicherheit

Wenn Ihr Microsoft Exchange Server online ist, tun Sie gut daran, Patch es sofort, wenn Sie es noch nicht getan haben. Microsoft hat keine Problemumgehung für die aktuelle Bedrohung CVE-2020-0688 v...

Weiterlesen
Hacker versuchen immer noch, anfällige Microsoft Exchange-Server zu durchbrechen

Hacker versuchen immer noch, anfällige Microsoft Exchange-Server zu durchbrechenMicrosoft ExchangeOnlinesicherheit

Böswillige Akteure haben nicht aufgehört, die Schwachstelle CVE-2020-0688 in mit dem Internet verbundenen Microsoft Exchange-Servern auszunutzen, warnte die National Security Agency (NSA) kürzlich....

Weiterlesen