एजेंट टेस्ला स्पाइवेयर माइक्रोसॉफ्ट वर्ड दस्तावेजों के माध्यम से फैलता है

एजेंट टेस्ला मैलवेयर के माध्यम से फैल गया माइक्रोसॉफ्ट वर्ड पिछले साल दस्तावेज़, और अब यह हमें परेशान करने के लिए वापस आ गया। स्पाइवेयर का नवीनतम संस्करण पीड़ितों को वर्ड दस्तावेज़ में स्पष्ट दृश्य को सक्षम करने के लिए नीले आइकन पर डबल-क्लिक करने के लिए कहता है।

यदि उपयोगकर्ता उस पर क्लिक करने के लिए पर्याप्त लापरवाह है, तो इसके परिणामस्वरूप एम्बेडेड ऑब्जेक्ट से एक .exe फ़ाइल का निष्कर्षण होगा। सिस्टम का अस्थायी फ़ोल्डर और फिर इसे चलाएं। यह केवल एक उदाहरण है कि यह मैलवेयर कैसे काम करता है।

मैलवेयर MS Visual Basic में लिखा गया है

मैलवेयर एमएस विजुअल बेसिक भाषा में लिखा गया है, और इसका विश्लेषण ज़ियाओपेंग झांग ने किया था जिन्होंने 5 अप्रैल को अपने ब्लॉग पर विस्तृत विश्लेषण पोस्ट किया था।

उनके द्वारा पाई गई निष्पादन योग्य फ़ाइल को POM.exe कहा जाता था, और यह एक प्रकार का इंस्टॉलर प्रोग्राम है। जब यह चला, तो इसने filename.exe और filename.vbs नाम की दो फ़ाइलें %temp% सबफ़ोल्डर में छोड़ दीं। स्टार्टअप पर इसे स्वचालित रूप से चलाने के लिए, फ़ाइल स्टार्टअप प्रोग्राम के रूप में सिस्टम रजिस्ट्री में खुद को जोड़ती है, और यह %temp%filename.exe चलती है।

मैलवेयर एक निलंबित चाइल्ड प्रोसेस बनाता है

जब filename.exe शुरू होता है, तो यह एक निलंबित चाइल्ड प्रक्रिया के निर्माण की ओर ले जाएगा, जिससे कि स्वयं को सुरक्षित रखा जा सके।

इसके बाद, यह चाइल्ड प्रोसेस की मेमोरी को अधिलेखित करने के लिए अपने स्वयं के संसाधन से एक नई PE फ़ाइल निकालेगा। फिर, चाइल्ड प्रोसेस का फिर से शुरू होना 'निष्पादन आता है।

• सम्बंधित: 2018 में खतरों को रोकने के लिए विंडोज 10 के लिए 7 सर्वश्रेष्ठ एंटी-मैलवेयर टूल

मैलवेयर एक डेमॉन प्रोग्राम को छोड़ देता है

मैलवेयर एक डेमॉन प्रोग्राम को .Net प्रोग्राम के संसाधन से प्लेयर नामक %temp% फ़ोल्डर में छोड़ देता है और filename.exe की सुरक्षा के लिए इसे चलाता है। डेमॉन के प्रोग्राम का नाम तीन यादृच्छिक अक्षरों से बना है, और इसका उद्देश्य स्पष्ट और सरल है।

प्राथमिक फ़ंक्शन को कमांड लाइन तर्क प्राप्त होता है, और यह इसे एक स्ट्रिंग वेरिएबल में सहेजता है जिसे फ़ाइलपाथ कहा जाता है। इसके बाद, यह एक थ्रेड फ़ंक्शन बनाएगा जिसके माध्यम से यह जांचता है कि filename.exe प्रत्येक 900 मिलीसेकंड पर चल रहा है या नहीं। अगर filename.exe को मार दिया जाता है, तो यह फिर से चलेगा।

झांग ने कहा कि फोर्टिगार्ड एंटीवायरस ने मैलवेयर का पता लगाया और उसे खत्म कर दिया। हम अनुशंसा करते हैं कि आप इसके माध्यम से जाएं झांग के विस्तृत नोट्स स्पाइवेयर और यह कैसे काम करता है, इसके बारे में और जानने के लिए।

संबंधित कहानियों की जाँच करने के लिए:

• क्या है 'विंडोज ने स्पाइवेयर संक्रमण का पता लगाया है!' और इसे कैसे दूर करें?
• अपने कंप्यूटर पर स्पाइवेयर सुरक्षा अपडेट नहीं कर सकते?
• इन 5 सॉफ़्टवेयर समाधानों का उपयोग करके Windows 10 में WMV फ़ाइलें खोलें