A Tesla ügynök rosszindulatú programja keresztül terjedt el Microsoft Word dokumentumok tavaly, és most visszatért minket. A spyware legújabb változata arra kéri az áldozatokat, hogy duplán kattintsanak egy kék ikonra, hogy a Word-dokumentumban áttekinthetőbb legyen a nézet.
Ha a felhasználó elég gondatlan ahhoz, hogy rákattintjon, ez egy .exe fájl kibontását eredményezi a beágyazott objektumból a rendszer ideiglenes mappája majd futtassa. Ez csak egy példa a malware működésére.
A rosszindulatú program az MS Visual Basic-be van írva
A rosszindulatú az MS Visual Basic nyelvén íródott, és Xiaopeng Zhang elemezte, aki a részletes elemzést április 5-én tette közzé blogján.
Az általa talált futtatható fájl neve POM.exe volt, és ez egyfajta telepítőprogram. Amikor ez lefutott, két fájlt nevezett: filename.exe és filename.vbs a% temp% almappába. Az indításkor történő automatikus futtatáshoz a fájl indítási programként felveszi magát a rendszerleíró adatbázisba, és a% temp% filename.exe fájlt futtatja.
A rosszindulatú program felfüggesztett gyermekfolyamatot hoz létre
Amikor a filename.exe elindul, ez felfüggesztett gyermekfolyamat létrehozásához vezet ugyanazzal a folyamatgal, amely önmagának védelme érdekében történik.
Ezt követően egy új PE fájlt fog kinyerni a saját forrásból, hogy felülírja a gyermek folyamat memóriáját. Ezután jön a gyermekfolyamat folytatása.
- ÖSSZEFÜGGŐ: 7 legjobb antimalware eszköz a Windows 10 számára a fenyegetések blokkolásához 2018-ban
A kártevő egy démon programot dob le
A rosszindulatú program egy Daemon programot is a Player nevű forrásból a% temp% mappába dob, és elindítja a fájlnév.exe védelme érdekében. A démon programneve három véletlenszerű betűből áll, célja világos és egyszerű.
Az elsődleges függvény parancssori argumentumot kap, és menti azt egy string változóba, amelyet filePath-nak hívnak. Ezt követően létrehoz egy szálfüggvényt, amelyen keresztül ellenőrzi, hogy a filename.exe 900 milliszekundumonként fut-e. Ha a filename.exe fájlt megölik, akkor az újra fut.
Zhang elmondta, hogy a FortiGuard AntiVirus észlelte a rosszindulatú programot és megszüntette azt. Javasoljuk, hogy menjen át Zhang részletes jegyzetei hogy többet megtudjon a kémprogramokról és azok működéséről.
KAPCSOLÓDÓ Történetek az ellenőrzéshez:
- Mi a „Windows észlelte a spyware fertőzést!” És hogyan lehet eltávolítani?
- Nem lehet frissíteni a számítógépen a kémprogramok elleni védelmet?
- Nyissa meg a WMV fájlokat a Windows 10 rendszerben ezen 5 szoftveres megoldás segítségével
