Zlonamjerni softver agenta Tesle proširio se putem Microsoft Word dokumenti prošle godine, a sada se vratio da nas proganja. Najnovija inačica špijunskog softvera traži od žrtava da dvaput kliknu na plavu ikonu kako bi se omogućio jasniji prikaz u Word dokumentu.
Ako je korisnik dovoljno neoprezan da klikne na njega, to će rezultirati ekstrakcijom .exe datoteke iz ugrađenog objekta u privremena mapa sustava a zatim ga pokreni. Ovo je samo primjer kako ovaj zlonamjerni softver radi.
Zlonamjerni softver zapisan je u MS Visual Basic
The zlonamjerni softver napisan je na jeziku MS Visual Basic, a analizirao ga je Xiaopeng Zhang koji je detaljnu analizu objavio na svom blogu 5. travnja.
Izvršna datoteka koju je pronašao nazvala se POM.exe i to je svojevrsni program za instalaciju. Kada se ovo pokrenulo, bacilo je dvije datoteke s imenom filename.exe i filename.vbs u podmapu% temp%. Da bi se pokrenula automatski prilikom pokretanja, datoteka se dodaje u sistemski registar kao program za pokretanje i pokreće% temp% filename.exe.
Zlonamjerni softver stvara suspendirani podređeni postupak
Kada se filename.exe pokrene, to će dovesti do stvaranja suspendiranog podređenog procesa s istim onim da bi se zaštitio.
Nakon toga, iz vlastitog će resursa izvući novu PE datoteku da bi prepisao memoriju podređenog procesa. Tada dolazi do nastavka izvršenja podređenog postupka.
- POVEZANO: 7 najboljih antimalware alata za Windows 10 za blokiranje prijetnji u 2018
Zlonamjerni softver ispušta demon program
Zlonamjerni softver također ispušta Daemon program iz resursa programa .Net pod nazivom Player u mapu% temp% i pokreće ga kako bi zaštitio filename.exe. Naziv programa demona sastoji se od tri slučajna slova, a svrha mu je jasna i jednostavna.
Primarna funkcija prima argument naredbenog retka i sprema ga u varijablu niza koja se naziva filePath. Nakon toga stvorit će funkciju niti pomoću koje provjerava radi li filename.exe svake 900 milisekundi. Ako je filename.exe ubijen, pokrenut će se ponovno.
Zhang je rekao da je FortiGuard AntiVirus otkrio zlonamjerni softver i uklonio ga. Preporučujemo da prođete Zhangove detaljne bilješke kako biste saznali više o špijunskom softveru i kako on funkcionira.
POVEZANE PRIČE ZA PROVJERU:
- Što je ‘Windows je otkrio zarazu špijunskim softverom!’ I kako ga ukloniti?
- Ne možete ažurirati zaštitu od špijunskog softvera na računalu?
- Otvorite WMV datoteke u sustavu Windows 10 pomoću ovih 5 softverskih rješenja
