Špijunski softver agenta Tesle širi se putem dokumenata Microsoft Word

Agent Tesla spyware microsoft word

Zlonamjerni softver agenta Tesle proširio se putem Microsoft Word dokumenti prošle godine, a sada se vratio da nas proganja. Najnovija inačica špijunskog softvera traži od žrtava da dvaput kliknu na plavu ikonu kako bi se omogućio jasniji prikaz u Word dokumentu.

Ako je korisnik dovoljno neoprezan da klikne na njega, to će rezultirati ekstrakcijom .exe datoteke iz ugrađenog objekta u privremena mapa sustava a zatim ga pokreni. Ovo je samo primjer kako ovaj zlonamjerni softver radi.

Zlonamjerni softver zapisan je u MS Visual Basic

The zlonamjerni softver napisan je na jeziku MS Visual Basic, a analizirao ga je Xiaopeng Zhang koji je detaljnu analizu objavio na svom blogu 5. travnja.

Izvršna datoteka koju je pronašao nazvala se POM.exe i to je svojevrsni program za instalaciju. Kada se ovo pokrenulo, bacilo je dvije datoteke s imenom filename.exe i filename.vbs u podmapu% temp%. Da bi se pokrenula automatski prilikom pokretanja, datoteka se dodaje u sistemski registar kao program za pokretanje i pokreće% temp% filename.exe.

Zlonamjerni softver stvara suspendirani podređeni postupak

Kada se filename.exe pokrene, to će dovesti do stvaranja suspendiranog podređenog procesa s istim onim da bi se zaštitio.

Nakon toga, iz vlastitog će resursa izvući novu PE datoteku da bi prepisao memoriju podređenog procesa. Tada dolazi do nastavka izvršenja podređenog postupka.

  • POVEZANO: 7 najboljih antimalware alata za Windows 10 za blokiranje prijetnji u 2018

Zlonamjerni softver ispušta demon program

Zlonamjerni softver također ispušta Daemon program iz resursa programa .Net pod nazivom Player u mapu% temp% i pokreće ga kako bi zaštitio filename.exe. Naziv programa demona sastoji se od tri slučajna slova, a svrha mu je jasna i jednostavna.

Primarna funkcija prima argument naredbenog retka i sprema ga u varijablu niza koja se naziva filePath. Nakon toga stvorit će funkciju niti pomoću koje provjerava radi li filename.exe svake 900 milisekundi. Ako je filename.exe ubijen, pokrenut će se ponovno.

Zhang je rekao da je FortiGuard AntiVirus otkrio zlonamjerni softver i uklonio ga. Preporučujemo da prođete Zhangove detaljne bilješke kako biste saznali više o špijunskom softveru i kako on funkcionira.

POVEZANE PRIČE ZA PROVJERU:

  • Što je ‘Windows je otkrio zarazu špijunskim softverom!’ I kako ga ukloniti?
  • Ne možete ažurirati zaštitu od špijunskog softvera na računalu?
  • Otvorite WMV datoteke u sustavu Windows 10 pomoću ovih 5 softverskih rješenja
5+ najboljih antivirusnih programa za Facebook kako bi vaši podaci bili sigurni

5+ najboljih antivirusnih programa za Facebook kako bi vaši podaci bili sigurniAntivirusKibernetička SigurnostFacebook

Potreban vam je moćan antivirusni softver da biste zaštitili svoj Facebook račun od kibernetičkih napada.Srećom, sačinili smo temeljit popis antivirusnog softvera koji ima višeslojnu zaštitu.Ova ši...

Čitaj više
10+ najboljih USB upravljačkih programa za računalo [Vodič za 2021]

10+ najboljih USB upravljačkih programa za računalo [Vodič za 2021]Kibernetička SigurnostWindows Softver

Ušteda vremena na softverskom i hardverskom znanju koje pomaže 200 milijuna korisnika godišnje. Vodiću vas savjetima, vijestima i savjetima za nadogradnju vašeg tehnološkog života.Sticanje kontrole...

Čitaj više
Preuzmite Bitdefender Total Security 2020 anti-virus s više platformi

Preuzmite Bitdefender Total Security 2020 anti-virus s više platformiAntivirusBitdefender PopravciKibernetička Sigurnost

ESET Antivirus dolazi sa svim sigurnosnim alatima koji će vam možda trebati za zaštitu vaših podataka i privatnosti, uključujući:Podrška protiv krađeZaštita web kamereIntuitivno postavljanje i kori...

Čitaj više