Agent Tesla nuhkvara levib Microsoft Wordi dokumentide kaudu

Agent Tesla nuhkvara Microsoft Word

Agent Tesla pahavara levis läbi Microsoft Word dokumente eelmisel aastal ja nüüd tuli see meid tagasi kummitama. Nuhkvara uusim versioon palub ohvritel topeltklõpsata sinisel ikoonil, et Wordi dokumendis oleks selgem vaade.

Kui kasutaja on piisavalt hooletu, et sellel klõpsata, toob see välja .exe-faili väljavõtte manustatud objektist süsteemi ajutine kaust ja siis käivitage see. See on ainult näide selle pahavara toimimisest.

Pahavara on kirjutatud MS Visual Basicus

The pahavara on kirjutatud MS Visual Basicu keeles ja seda analüüsis Xiaopeng Zhang, kes postitas üksikasjaliku analüüsi oma blogisse 5. aprillil.

Tema leitud käivitatava faili nimi oli POM.exe ja see on omamoodi installiprogramm. Selle käivitamisel viskas see kaks faili nimega failinimi.exe ja failinimi.vbs alamkausta% temp%. Selleks, et see käivitamisel automaatselt töötaks, lisab fail end käivitusprogrammina süsteemi registrisse ja see käivitab% temp% filename.exe.

Pahavara loob peatatud lapseprotsessi

Kui failinimi.exe algab, loob see peatatud alamprotsessi loomise samaga, mis on ka enda kaitsmiseks.

Pärast seda eraldab ta oma ressursist uue PE-faili, et lapseprotsessi mälu üle kirjutada. Siis saabub taas lapseprotsessi hukkamine.

  • SEOTUD: 7 parimat viirusetõrjevahendit Windows 10 jaoks ohtude blokeerimiseks 2018. aastal

Pahavara loobub deemonprogrammist

Pahavara laseb ka .Neti programmi ressursist Player nimelise kausta% temp% kausta ja käivitab selle failinime.exe kaitsmiseks. Deemoni programmi nimi koosneb kolmest juhuslikust tähest ja selle eesmärk on selge ja lihtne.

Peamine funktsioon saab käsurea argumendi ja salvestab selle stringimuutujaks, mida nimetatakse faili teeks. Pärast seda loob see lõimefunktsiooni, mille kaudu kontrollitakse, kas failinimi.exe töötab iga 900 millisekundi järel. Kui failinimi.exe tapetakse, käivitatakse see uuesti.

Zhang ütles, et FortiGuard AntiVirus tuvastas pahavara ja kõrvaldas selle. Soovitame teil läbi minna Zhangi üksikasjalikud märkused lisateavet nuhkvara ja selle toimimise kohta.

SEOTUD LUGUD KONTROLLIMISEKS:

  • Mis on „Windows on tuvastanud nuhkvara nakatumise!” Ja kuidas seda eemaldada?
  • Kas teie arvutis ei saa nuhkvarakaitset uuendada?
  • Avage Windows 10-s WMV-failid, kasutades neid viit tarkvaralahendust
5+ parimat tasuta viirusevastast viirust üheks aastaks [2021 juhend]

5+ parimat tasuta viirusevastast viirust üheks aastaks [2021 juhend]KüberturvalisusTasuta Viirusetõrje

Oma lemmikviirusetõrje jaoks saate kuni ühe aasta tasuta prooviversiooni. Enne ostu sooritamist on eelistatav proovisõit, et olla kindel, et teie raha on hästi investeeritud.Kõikehõlmavate turvavõi...

Loe rohkem
Rohkem kui 5 tasuta Windows XP-le mõeldud antimalware tööriista arvuti kaitsmiseks

Rohkem kui 5 tasuta Windows XP-le mõeldud antimalware tööriista arvuti kaitsmiseksAntivaraKüberturvalisus

Ajasäästlik tarkvara ja riistvara, mis aitab 200 miljonit kasutajat aastas. Juhendamine, kuidas nõuandeid, uudiseid ja näpunäiteid oma tehnoloogiaelu täiustamiseks.Avast on arvatavasti suurim tasut...

Loe rohkem
5+ parimat viirusetõrjet veebipõhiseks skannimiseks [Windows 10 ja Mac]

5+ parimat viirusetõrjet veebipõhiseks skannimiseks [Windows 10 ja Mac]ViirusetõrjeKüberturvalisus

Ajasäästlik tarkvara ja riistvara, mis aitab 200 miljonit kasutajat aastas. Juhendamine, kuidas nõuandeid, uudiseid ja näpunäiteid oma tehnoloogiaelu uuendamiseks.ESET Internet Security on tasuta p...

Loe rohkem