Το λογισμικό Agent Tesla εξαπλώθηκε μέσω Microsoft Word έγγραφα πέρυσι, και τώρα επέστρεψε για να μας στοιχειώσει. Η τελευταία παραλλαγή του spyware ζητά από τα θύματα να κάνουν διπλό κλικ σε ένα μπλε εικονίδιο για να επιτρέψουν μια πιο καθαρή προβολή σε ένα έγγραφο του Word.
Εάν ο χρήστης είναι αρκετά απρόσεκτος για να κάνει κλικ σε αυτό, αυτό θα έχει ως αποτέλεσμα την εξαγωγή ενός αρχείου .exe από το ενσωματωμένο αντικείμενο στο προσωρινός φάκελος του συστήματος και στη συνέχεια εκτελέστε το. Αυτό είναι μόνο ένα παράδειγμα του τρόπου λειτουργίας αυτού του κακόβουλου λογισμικού.
Το κακόβουλο λογισμικό είναι γραμμένο στο MS Visual Basic
ο κακόβουλο λογισμικό είναι γραμμένο στη γλώσσα MS Visual Basic και αναλύθηκε από τον Xiaopeng Zhang ο οποίος δημοσίευσε τη λεπτομερή ανάλυση στο blog του στις 5 Απριλίου.
Το εκτελέσιμο αρχείο που βρήκε ονομάστηκε POM.exe και είναι ένα είδος προγράμματος εγκατάστασης. Όταν εκτελέστηκε, έριξε δύο αρχεία με όνομα filename.exe και filename.vbs στον υποφάκελο% temp%. Για να εκτελεστεί αυτόματα κατά την εκκίνηση, το αρχείο προστίθεται στο μητρώο συστήματος ως πρόγραμμα εκκίνησης και εκτελεί% temp% filename.exe.
Το κακόβουλο λογισμικό δημιουργεί μια ανασταλμένη παιδική διαδικασία
Όταν ξεκινά το filename.exe, αυτό θα οδηγήσει στη δημιουργία μιας ανασταλμένης θυγατρικής διαδικασίας με την ίδια με αυτήν για να προστατευτεί.
Μετά από αυτό, θα εξαγάγει ένα νέο αρχείο PE από τον δικό του πόρο για να αντικαταστήσει τη μνήμη της θυγατρικής διαδικασίας. Έπειτα, έρχεται η συνέχιση της εκτέλεσης της παιδικής διαδικασίας.
- ΣΧΕΤΙΖΟΜΑΙ ΜΕ: 7 καλύτερα εργαλεία antimalware για τα Windows 10 για τον αποκλεισμό απειλών το 2018
Το κακόβουλο πρόγραμμα σταματά ένα πρόγραμμα δαίμονα
Το κακόβουλο λογισμικό ρίχνει επίσης ένα πρόγραμμα Daemon από τον πόρο του προγράμματος .Net που ονομάζεται Player στο φάκελο% temp% και το τρέχει για να προστατεύσει το filename.exe. Το όνομα προγράμματος του δαίμονα αποτελείται από τρία τυχαία γράμματα και ο σκοπός του είναι σαφής και απλός.
Η κύρια συνάρτηση λαμβάνει ένα όρισμα γραμμής εντολών και την αποθηκεύει σε μια μεταβλητή συμβολοσειράς που ονομάζεται filePath. Μετά από αυτό, θα δημιουργήσει μια συνάρτηση νήματος μέσω της οποίας θα ελέγχει για να δει εάν το filename.exe εκτελείται κάθε 900 χιλιοστά του δευτερολέπτου. Εάν το αρχείο filename.exe σκοτωθεί, θα εκτελεστεί ξανά.
Ο Ζανγκ είπε ότι το FortiGuard AntiVirus εντόπισε το κακόβουλο λογισμικό και το εξάλειψε. Σας συνιστούμε να περάσετε Οι λεπτομερείς σημειώσεις του Ζανγκ για να μάθετε περισσότερα σχετικά με το spyware και πώς λειτουργεί.
ΣΧΕΤΙΚΕΣ ΙΣΤΟΡΙΕΣ ΓΙΑ ΕΞΕΤΑΣΗ:
- Τι είναι το "Windows εντόπισε λοίμωξη από λογισμικό υποκλοπής spyware!" Και πώς να το καταργήσετε;
- Δεν μπορείτε να ενημερώσετε την προστασία spyware στον υπολογιστή σας;
- Ανοίξτε αρχεία WMV στα Windows 10 χρησιμοποιώντας αυτές τις 5 λύσεις λογισμικού
