Agent Tesla pahavara levis läbi Microsoft Word dokumente eelmisel aastal ja nüüd tuli see meid tagasi kummitama. Nuhkvara uusim versioon palub ohvritel topeltklõpsata sinisel ikoonil, et Wordi dokumendis oleks selgem vaade.
Kui kasutaja on piisavalt hooletu, et sellel klõpsata, toob see välja .exe-faili väljavõtte manustatud objektist süsteemi ajutine kaust ja siis käivitage see. See on ainult näide selle pahavara toimimisest.
Pahavara on kirjutatud MS Visual Basicus
The pahavara on kirjutatud MS Visual Basicu keeles ja seda analüüsis Xiaopeng Zhang, kes postitas üksikasjaliku analüüsi oma blogisse 5. aprillil.
Tema leitud käivitatava faili nimi oli POM.exe ja see on omamoodi installiprogramm. Selle käivitamisel viskas see kaks faili nimega failinimi.exe ja failinimi.vbs alamkausta% temp%. Selleks, et see käivitamisel automaatselt töötaks, lisab fail end käivitusprogrammina süsteemi registrisse ja see käivitab% temp% filename.exe.
Pahavara loob peatatud lapseprotsessi
Kui failinimi.exe algab, loob see peatatud alamprotsessi loomise samaga, mis on ka enda kaitsmiseks.
Pärast seda eraldab ta oma ressursist uue PE-faili, et lapseprotsessi mälu üle kirjutada. Siis saabub taas lapseprotsessi hukkamine.
- SEOTUD: 7 parimat viirusetõrjevahendit Windows 10 jaoks ohtude blokeerimiseks 2018. aastal
Pahavara loobub deemonprogrammist
Pahavara laseb ka .Neti programmi ressursist Player nimelise kausta% temp% kausta ja käivitab selle failinime.exe kaitsmiseks. Deemoni programmi nimi koosneb kolmest juhuslikust tähest ja selle eesmärk on selge ja lihtne.
Peamine funktsioon saab käsurea argumendi ja salvestab selle stringimuutujaks, mida nimetatakse faili teeks. Pärast seda loob see lõimefunktsiooni, mille kaudu kontrollitakse, kas failinimi.exe töötab iga 900 millisekundi järel. Kui failinimi.exe tapetakse, käivitatakse see uuesti.
Zhang ütles, et FortiGuard AntiVirus tuvastas pahavara ja kõrvaldas selle. Soovitame teil läbi minna Zhangi üksikasjalikud märkused lisateavet nuhkvara ja selle toimimise kohta.
SEOTUD LUGUD KONTROLLIMISEKS:
- Mis on „Windows on tuvastanud nuhkvara nakatumise!” Ja kuidas seda eemaldada?
- Kas teie arvutis ei saa nuhkvarakaitset uuendada?
- Avage Windows 10-s WMV-failid, kasutades neid viit tarkvaralahendust
