Le malware Agent Tesla s'est propagé via Microsoft Word documents l'année dernière, et maintenant il est revenu nous hanter. La dernière variante du logiciel espion demande aux victimes de double-cliquer sur une icône bleue pour permettre une vue plus claire dans un document Word.
Si l'utilisateur est assez négligent pour cliquer dessus, cela entraînera l'extraction d'un fichier .exe de l'objet intégré dans le dossier temporaire du système puis exécutez-le. Ceci n'est qu'un exemple du fonctionnement de ce malware.
Le malware est écrit dans le MS Visual Basic
le malware est écrit dans le langage MS Visual Basic, et il a été analysé par Xiaopeng Zhang qui a publié l'analyse détaillée sur son blog le 5 avril.
Le fichier exécutable trouvé par lui s'appelait POM.exe, et c'est une sorte de programme d'installation. Lorsque cela s'est exécuté, il a déposé deux fichiers nommés filename.exe et filename.vbs dans le sous-dossier %temp%. Pour qu'il s'exécute automatiquement au démarrage, le fichier s'ajoute au registre système en tant que programme de démarrage et exécute %temp%filename.exe.
Le malware crée un processus enfant suspendu
Lorsque filename.exe démarre, cela entraînera la création d'un processus enfant suspendu avec le même que pour se protéger.
Après cela, il extraira un nouveau fichier PE de sa propre ressource pour écraser la mémoire du processus enfant. Vient ensuite la reprise de l'exécution du processus fils.
- EN RELATION: 7 meilleurs outils antimalware pour Windows 10 pour bloquer les menaces en 2018
Le malware laisse tomber un programme démon
Le malware dépose également un programme Daemon de la ressource du programme .Net appelée Player dans le dossier %temp% et l'exécute pour protéger filename.exe. Le nom du programme du démon est composé de trois lettres aléatoires et son objectif est clair et simple.
La fonction principale reçoit un argument de ligne de commande et l'enregistre dans une variable de chaîne appelée filePath. Après cela, il créera une fonction de thread via laquelle il vérifiera si filename.exe s'exécute toutes les 900 millisecondes. Si filename.exe est tué, il s'exécutera à nouveau.
Zhang a déclaré que FortiGuard AntiVirus a détecté le malware et l'a éliminé. Nous vous recommandons de passer par Notes détaillées de Zhang pour en savoir plus sur le logiciel espion et son fonctionnement.
HISTOIRES CONNEXES À VÉRIFIER :
- Qu'est-ce que « Windows a détecté une infection par un logiciel espion! » et comment le supprimer ?
- Vous ne pouvez pas mettre à jour la protection contre les logiciels espions sur votre ordinateur ?
- Ouvrez les fichiers WMV dans Windows 10 à l'aide de ces 5 solutions logicielles
