Malware Agen Tesla menyebar melalui Microsoft Word dokumen tahun lalu, dan sekarang kembali menghantui kita. Varian terbaru dari spyware meminta korban untuk mengklik dua kali pada ikon biru untuk mengaktifkan tampilan yang lebih jelas dalam dokumen Word.
Jika pengguna cukup ceroboh untuk mengkliknya, ini akan mengakibatkan ekstraksi file .exe dari objek yang disematkan ke dalam folder sementara sistem dan kemudian menjalankannya. Ini hanya contoh cara kerja malware ini.
Malware ditulis dalam MS Visual Basic
Itu perangkat lunak perusak ditulis dalam bahasa MS Visual Basic, dan dianalisis oleh Xiaopeng Zhang yang memposting analisis terperinci di blognya pada tanggal 5 April.
File yang dapat dieksekusi yang ditemukan olehnya disebut POM.exe, dan itu semacam program penginstal. Ketika ini dijalankan, ia menjatuhkan dua file bernama filename.exe dan filename.vbs ke dalam subfolder %temp%. Untuk membuatnya berjalan secara otomatis saat startup, file menambahkan dirinya ke registri sistem sebagai program startup, dan menjalankan %temp%filename.exe.
Malware membuat proses anak yang ditangguhkan
Ketika nama file.exe dimulai, ini akan mengarah pada pembuatan proses anak yang ditangguhkan dengan yang sama untuk melindungi dirinya sendiri.
Setelah ini, ia akan mengekstrak file PE baru dari sumbernya sendiri untuk menimpa memori proses anak. Kemudian, dimulainya kembali eksekusi proses anak datang.
- TERKAIT: 7 alat antimalware terbaik untuk Windows 10 untuk memblokir ancaman di 2018
Malware menjatuhkan program daemon
Malware juga menjatuhkan program Daemon dari sumber daya program .Net yang disebut Player ke dalam folder %temp% dan menjalankannya untuk melindungi filename.exe. Nama program daemon terdiri dari tiga huruf acak, dan tujuannya jelas dan sederhana.
Fungsi utama menerima argumen baris perintah, dan menyimpannya ke variabel string yang disebut filePath. Setelah ini, ia akan membuat fungsi utas yang melaluinya ia memeriksa untuk melihat apakah nama file.exe berjalan setiap 900 milidetik. Jika nama file.exe terbunuh, itu akan berjalan lagi.
Zhang mengatakan bahwa FortiGuard AntiVirus mendeteksi malware dan menghilangkannya. Kami menyarankan Anda untuk melewati Catatan terperinci Zhang untuk mengetahui lebih lanjut tentang spyware dan cara kerjanya.
CERITA TERKAIT UNTUK DIPERHATIKAN:
- Apa itu 'Windows telah mendeteksi infeksi spyware!' dan bagaimana cara menghapusnya?
- Tidak dapat memperbarui perlindungan spyware di komputer Anda?
- Buka file WMV di Windows 10 menggunakan 5 solusi perangkat lunak ini
