Le logiciel espion de l'agent Tesla se propage via des documents Microsoft Word

Agent Tesla spyware microsoft word

Le malware Agent Tesla s'est propagé via Microsoft Word documents l'année dernière, et maintenant il est revenu nous hanter. La dernière variante du logiciel espion demande aux victimes de double-cliquer sur une icône bleue pour permettre une vue plus claire dans un document Word.

Si l'utilisateur est assez négligent pour cliquer dessus, cela entraînera l'extraction d'un fichier .exe de l'objet intégré dans le dossier temporaire du système puis exécutez-le. Ceci n'est qu'un exemple du fonctionnement de ce malware.

Le malware est écrit dans le MS Visual Basic

le malware est écrit dans le langage MS Visual Basic, et il a été analysé par Xiaopeng Zhang qui a publié l'analyse détaillée sur son blog le 5 avril.

Le fichier exécutable trouvé par lui s'appelait POM.exe, et c'est une sorte de programme d'installation. Lorsque cela s'est exécuté, il a déposé deux fichiers nommés filename.exe et filename.vbs dans le sous-dossier %temp%. Pour qu'il s'exécute automatiquement au démarrage, le fichier s'ajoute au registre système en tant que programme de démarrage et exécute %temp%filename.exe.

Le malware crée un processus enfant suspendu

Lorsque filename.exe démarre, cela entraînera la création d'un processus enfant suspendu avec le même que pour se protéger.

Après cela, il extraira un nouveau fichier PE de sa propre ressource pour écraser la mémoire du processus enfant. Vient ensuite la reprise de l'exécution du processus fils.

  • EN RELATION: 7 meilleurs outils antimalware pour Windows 10 pour bloquer les menaces en 2018

Le malware laisse tomber un programme démon

Le malware dépose également un programme Daemon de la ressource du programme .Net appelée Player dans le dossier %temp% et l'exécute pour protéger filename.exe. Le nom du programme du démon est composé de trois lettres aléatoires et son objectif est clair et simple.

La fonction principale reçoit un argument de ligne de commande et l'enregistre dans une variable de chaîne appelée filePath. Après cela, il créera une fonction de thread via laquelle il vérifiera si filename.exe s'exécute toutes les 900 millisecondes. Si filename.exe est tué, il s'exécutera à nouveau.

Zhang a déclaré que FortiGuard AntiVirus a détecté le malware et l'a éliminé. Nous vous recommandons de passer par Notes détaillées de Zhang pour en savoir plus sur le logiciel espion et son fonctionnement.

HISTOIRES CONNEXES À VÉRIFIER :

  • Qu'est-ce que « Windows a détecté une infection par un logiciel espion! » et comment le supprimer ?
  • Vous ne pouvez pas mettre à jour la protection contre les logiciels espions sur votre ordinateur ?
  • Ouvrez les fichiers WMV dans Windows 10 à l'aide de ces 5 solutions logicielles
Obtenez trois ans de protection NordVPN pour seulement 3,49 $/mois.

Obtenez trois ans de protection NordVPN pour seulement 3,49 $/mois.La Cyber Sécurité

Choisir une solution VPN fiable pour tous vos appareils ne doit jamais vider votre compte bancaire.Ne refusez pas un plan NordVPN de trois ans inférieur à un an sur des VPN similaires.Pour vous aid...

Lire la suite
10+ meilleurs logiciels de contrôle USB pour PC [Guide 2021]

10+ meilleurs logiciels de contrôle USB pour PC [Guide 2021]La Cyber SécuritéLogiciel Windows

Une expertise logicielle et matérielle qui permet de gagner du temps et d'aider 200 millions d'utilisateurs chaque année. Vous guider avec des conseils pratiques, des actualités et des astuces pour...

Lire la suite
ExpressVPN peut-il être piraté? Est-il sûr à utiliser ?

ExpressVPN peut-il être piraté? Est-il sûr à utiliser ?VpnLa Cyber SécuritéProblèmes Expressvpn

Si vous êtes sur la scène VPN depuis un certain temps maintenant, ExpressVPN pourrait vous en dire plus que long. Il peut protéger votre vie privée, mais aussi contourner facilement les restriction...

Lire la suite