Agentti Teslan haittaohjelma levisi kautta Microsoft Word viime vuonna, ja nyt se palasi ahdistamaan meitä. Vakoiluohjelman uusin versio pyytää uhreja kaksoisnapsauttamaan sinistä kuvaketta, jotta Word-asiakirjassa näkyisi selkeämpi näkymä.
Jos käyttäjä on tarpeeksi huolimaton napsauttamaan sitä, tämä johtaa .exe-tiedoston purkamiseen upotetusta objektista järjestelmän väliaikainen kansio ja sitten ajaa se. Tämä on vain esimerkki tämän haittaohjelman toiminnasta.
Haittaohjelma on kirjoitettu MS Visual Basiciin
haittaohjelma on kirjoitettu MS Visual Basic -kielellä, ja sen analysoi Xiaopeng Zhang, joka lähetti yksityiskohtaisen analyysin blogiinsa 5. huhtikuuta.
Hänen löytämänsä suoritettavan tiedoston nimi oli POM.exe, ja se on eräänlainen asennusohjelma. Kun tämä suoritettiin, se pudotti kaksi tiedostoa nimeltä tiedostonimi.exe ja tiedostonimi.vbs% temp% -alikansioon. Jotta tiedosto toimisi automaattisesti käynnistyksen yhteydessä, tiedosto lisää itsensä järjestelmän rekisteriin käynnistysohjelmana ja suorittaa% temp% filename.exe.
Haittaohjelma luo keskeytetyn lapsiprosessin
Kun tiedostonimi.exe käynnistyy, se johtaa keskeytetyn lapsiprosessin luomiseen samalla tavalla kuin itsensä suojaamiseksi.
Tämän jälkeen se purkaa uuden PE-tiedoston omasta resurssistaan korvaamaan lapsen prosessin muistin. Sitten lapsiprosessin suorittaminen jatkuu.
- LIITTYVÄT: 7 parasta Windows 10: n haittaohjelmien torjuntaa uhkien estämiseksi vuonna 2018
Haittaohjelma pudottaa daemon-ohjelman
Haittaohjelma myös pudottaa Daemon-ohjelman .Net-ohjelman Player-resurssista% temp% -kansioon ja suorittaa sen tiedostotiedoston.exe suojaamiseksi. Daemon-ohjelman nimi koostuu kolmesta satunnaisesta kirjaimesta, ja sen tarkoitus on selkeä ja yksinkertainen.
Ensisijainen funktio vastaanottaa komentoriviargumentin ja tallentaa sen merkkijonomuuttujaan, jota kutsutaan nimellä filePath. Tämän jälkeen se luo ketjutoiminnon, jonka avulla se tarkistaa, onko tiedostonimi.exe käynnissä 900 millisekunnin välein. Jos tiedostonimi.exe tapetaan, se suoritetaan uudelleen.
Zhang sanoi, että FortiGuard AntiVirus havaitsi haittaohjelman ja poisti sen. Suosittelemme käymään läpi Zhangin yksityiskohtaiset muistiinpanot saadaksesi lisätietoja vakoiluohjelmista ja niiden toiminnasta.
LIITTYVÄT TARINAT TARKISTAA:
- Mikä on ”Windows on havainnut vakoiluohjelmatartunnan!” Ja miten se poistetaan?
- Etkö voi päivittää tietokoneesi vakoiluohjelmien suojausta?
- Avaa WMV-tiedostot Windows 10: ssä näiden 5 ohjelmistoratkaisun avulla
