Agent Tesla nuhkvara levib Microsoft Wordi dokumentide kaudu

Agent Tesla nuhkvara Microsoft Word

Agent Tesla pahavara levis läbi Microsoft Word dokumente eelmisel aastal ja nüüd tuli see meid tagasi kummitama. Nuhkvara uusim versioon palub ohvritel topeltklõpsata sinisel ikoonil, et Wordi dokumendis oleks selgem vaade.

Kui kasutaja on piisavalt hooletu, et sellel klõpsata, toob see välja .exe-faili väljavõtte manustatud objektist süsteemi ajutine kaust ja siis käivitage see. See on ainult näide selle pahavara toimimisest.

Pahavara on kirjutatud MS Visual Basicus

The pahavara on kirjutatud MS Visual Basicu keeles ja seda analüüsis Xiaopeng Zhang, kes postitas üksikasjaliku analüüsi oma blogisse 5. aprillil.

Tema leitud käivitatava faili nimi oli POM.exe ja see on omamoodi installiprogramm. Selle käivitamisel viskas see kaks faili nimega failinimi.exe ja failinimi.vbs alamkausta% temp%. Selleks, et see käivitamisel automaatselt töötaks, lisab fail end käivitusprogrammina süsteemi registrisse ja see käivitab% temp% filename.exe.

Pahavara loob peatatud lapseprotsessi

Kui failinimi.exe algab, loob see peatatud alamprotsessi loomise samaga, mis on ka enda kaitsmiseks.

Pärast seda eraldab ta oma ressursist uue PE-faili, et lapseprotsessi mälu üle kirjutada. Siis saabub taas lapseprotsessi hukkamine.

  • SEOTUD: 7 parimat viirusetõrjevahendit Windows 10 jaoks ohtude blokeerimiseks 2018. aastal

Pahavara loobub deemonprogrammist

Pahavara laseb ka .Neti programmi ressursist Player nimelise kausta% temp% kausta ja käivitab selle failinime.exe kaitsmiseks. Deemoni programmi nimi koosneb kolmest juhuslikust tähest ja selle eesmärk on selge ja lihtne.

Peamine funktsioon saab käsurea argumendi ja salvestab selle stringimuutujaks, mida nimetatakse faili teeks. Pärast seda loob see lõimefunktsiooni, mille kaudu kontrollitakse, kas failinimi.exe töötab iga 900 millisekundi järel. Kui failinimi.exe tapetakse, käivitatakse see uuesti.

Zhang ütles, et FortiGuard AntiVirus tuvastas pahavara ja kõrvaldas selle. Soovitame teil läbi minna Zhangi üksikasjalikud märkused lisateavet nuhkvara ja selle toimimise kohta.

SEOTUD LUGUD KONTROLLIMISEKS:

  • Mis on „Windows on tuvastanud nuhkvara nakatumise!” Ja kuidas seda eemaldada?
  • Kas teie arvutis ei saa nuhkvarakaitset uuendada?
  • Avage Windows 10-s WMV-failid, kasutades neid viit tarkvaralahendust
Zepto lunavara on tagasi, Windows Defender ei saa seda blokeerida

Zepto lunavara on tagasi, Windows Defender ei saa seda blokeeridaLunavaraKüberturvalisus

Zepto lunavara on väga kaval programm, mis on Windowsi kasutajaid juba mõnda aega vigu tõmmanud. Esimest korda avastatud juulis näib, et see pahavara on alates septembri algusest aktiivsemaks muutu...

Loe rohkem
AT&T IP-aadress on rikutud või häkkinud? Siin on, mida teha

AT&T IP-aadress on rikutud või häkkinud? Siin on, mida tehaIp AadressPrivaatsusVpnKüberturvalisus

Kui olete AT&T klient, olete tõenäoliselt kuulnud ohustatud või häkkinud IP-aadressidest. Võite isegi ühel päeval teile helistada ja teavitada teid oma rikutud IP-st.Eespool lühidalt kirjeldatu...

Loe rohkem
Kas Interneti-teenuse pakkuja saab VPN-i jälgida? Mis on parim jälgimatu VPN?

Kas Interneti-teenuse pakkuja saab VPN-i jälgida? Mis on parim jälgimatu VPN?VpnKüberturvalisus

Teie Interneti-teenuse pakkuja näeb igal ajal täpselt, mida te võrgus teete, välja arvatud teie VPN-i või HTTPS-protokolli abil hoolikalt krüptitud andmed.On teada, et VPN-i kasutamine on üks parim...

Loe rohkem