Spyware Agen Tesla menyebar melalui dokumen Microsoft Word

Agen Tesla spyware microsoft word

Malware Agen Tesla menyebar melalui Microsoft Word dokumen tahun lalu, dan sekarang kembali menghantui kita. Varian terbaru dari spyware meminta korban untuk mengklik dua kali pada ikon biru untuk mengaktifkan tampilan yang lebih jelas dalam dokumen Word.

Jika pengguna cukup ceroboh untuk mengkliknya, ini akan mengakibatkan ekstraksi file .exe dari objek yang disematkan ke dalam folder sementara sistem dan kemudian menjalankannya. Ini hanya contoh cara kerja malware ini.

Malware ditulis dalam MS Visual Basic

Itu perangkat lunak perusak ditulis dalam bahasa MS Visual Basic, dan dianalisis oleh Xiaopeng Zhang yang memposting analisis terperinci di blognya pada tanggal 5 April.

File yang dapat dieksekusi yang ditemukan olehnya disebut POM.exe, dan itu semacam program penginstal. Ketika ini dijalankan, ia menjatuhkan dua file bernama filename.exe dan filename.vbs ke dalam subfolder %temp%. Untuk membuatnya berjalan secara otomatis saat startup, file menambahkan dirinya ke registri sistem sebagai program startup, dan menjalankan %temp%filename.exe.

Malware membuat proses anak yang ditangguhkan

Ketika nama file.exe dimulai, ini akan mengarah pada pembuatan proses anak yang ditangguhkan dengan yang sama untuk melindungi dirinya sendiri.

Setelah ini, ia akan mengekstrak file PE baru dari sumbernya sendiri untuk menimpa memori proses anak. Kemudian, dimulainya kembali eksekusi proses anak datang.

  • TERKAIT: 7 alat antimalware terbaik untuk Windows 10 untuk memblokir ancaman di 2018

Malware menjatuhkan program daemon

Malware juga menjatuhkan program Daemon dari sumber daya program .Net yang disebut Player ke dalam folder %temp% dan menjalankannya untuk melindungi filename.exe. Nama program daemon terdiri dari tiga huruf acak, dan tujuannya jelas dan sederhana.

Fungsi utama menerima argumen baris perintah, dan menyimpannya ke variabel string yang disebut filePath. Setelah ini, ia akan membuat fungsi utas yang melaluinya ia memeriksa untuk melihat apakah nama file.exe berjalan setiap 900 milidetik. Jika nama file.exe terbunuh, itu akan berjalan lagi.

Zhang mengatakan bahwa FortiGuard AntiVirus mendeteksi malware dan menghilangkannya. Kami menyarankan Anda untuk melewati Catatan terperinci Zhang untuk mengetahui lebih lanjut tentang spyware dan cara kerjanya.

CERITA TERKAIT UNTUK DIPERHATIKAN:

  • Apa itu 'Windows telah mendeteksi infeksi spyware!' dan bagaimana cara menghapusnya?
  • Tidak dapat memperbarui perlindungan spyware di komputer Anda?
  • Buka file WMV di Windows 10 menggunakan 5 solusi perangkat lunak ini
Versi Windows dan IE yang kedaluwarsa masih digunakan oleh banyak perusahaan, membuat serangan malware akan segera terjadi

Versi Windows dan IE yang kedaluwarsa masih digunakan oleh banyak perusahaan, membuat serangan malware akan segera terjadiMasalah Penjelajah InternetWindows 10Keamanan Cyber

Dalam artikel baru-baru ini, kami memberi tahu Anda bahwa dinosaurus Windows XP hidup dan menendang, dijalankan oleh hampir 11% komputer dunia. Hal yang sama berlaku untuk saudaranya, Internet Expl...

Baca selengkapnya
Pembaruan Ulang Tahun Windows 10 menyelamatkan hari dari ancaman zero-day

Pembaruan Ulang Tahun Windows 10 menyelamatkan hari dari ancaman zero-dayKeamanan Cyber

Perlindungan sistem adalah dan akan selalu menjadi perhatian utama bagi semua pihak yang terlibat karena ada banyak orang yang akan mencoba memanfaatkan situasi yang berbeda dengan perangkat lunak....

Baca selengkapnya
Serangan malware untuk memengaruhi PC Windows melalui driver yang salah

Serangan malware untuk memengaruhi PC Windows melalui driver yang salahWindows 10Sopir RusakKeamanan Cyber

Jaga kesehatan PC Anda dengan memperbarui drivernyaAlat ini akan membantu Anda mendeteksi driver lama dan tidak berfungsi dan secara otomatis akan mencari versi yang bagus. Dengan demikian, Anda ak...

Baca selengkapnya