Spyware Agen Tesla menyebar melalui dokumen Microsoft Word

Agen Tesla spyware microsoft word

Malware Agen Tesla menyebar melalui Microsoft Word dokumen tahun lalu, dan sekarang kembali menghantui kita. Varian terbaru dari spyware meminta korban untuk mengklik dua kali pada ikon biru untuk mengaktifkan tampilan yang lebih jelas dalam dokumen Word.

Jika pengguna cukup ceroboh untuk mengkliknya, ini akan mengakibatkan ekstraksi file .exe dari objek yang disematkan ke dalam folder sementara sistem dan kemudian menjalankannya. Ini hanya contoh cara kerja malware ini.

Malware ditulis dalam MS Visual Basic

Itu perangkat lunak perusak ditulis dalam bahasa MS Visual Basic, dan dianalisis oleh Xiaopeng Zhang yang memposting analisis terperinci di blognya pada tanggal 5 April.

File yang dapat dieksekusi yang ditemukan olehnya disebut POM.exe, dan itu semacam program penginstal. Ketika ini dijalankan, ia menjatuhkan dua file bernama filename.exe dan filename.vbs ke dalam subfolder %temp%. Untuk membuatnya berjalan secara otomatis saat startup, file menambahkan dirinya ke registri sistem sebagai program startup, dan menjalankan %temp%filename.exe.

Malware membuat proses anak yang ditangguhkan

Ketika nama file.exe dimulai, ini akan mengarah pada pembuatan proses anak yang ditangguhkan dengan yang sama untuk melindungi dirinya sendiri.

Setelah ini, ia akan mengekstrak file PE baru dari sumbernya sendiri untuk menimpa memori proses anak. Kemudian, dimulainya kembali eksekusi proses anak datang.

  • TERKAIT: 7 alat antimalware terbaik untuk Windows 10 untuk memblokir ancaman di 2018

Malware menjatuhkan program daemon

Malware juga menjatuhkan program Daemon dari sumber daya program .Net yang disebut Player ke dalam folder %temp% dan menjalankannya untuk melindungi filename.exe. Nama program daemon terdiri dari tiga huruf acak, dan tujuannya jelas dan sederhana.

Fungsi utama menerima argumen baris perintah, dan menyimpannya ke variabel string yang disebut filePath. Setelah ini, ia akan membuat fungsi utas yang melaluinya ia memeriksa untuk melihat apakah nama file.exe berjalan setiap 900 milidetik. Jika nama file.exe terbunuh, itu akan berjalan lagi.

Zhang mengatakan bahwa FortiGuard AntiVirus mendeteksi malware dan menghilangkannya. Kami menyarankan Anda untuk melewati Catatan terperinci Zhang untuk mengetahui lebih lanjut tentang spyware dan cara kerjanya.

CERITA TERKAIT UNTUK DIPERHATIKAN:

  • Apa itu 'Windows telah mendeteksi infeksi spyware!' dan bagaimana cara menghapusnya?
  • Tidak dapat memperbarui perlindungan spyware di komputer Anda?
  • Buka file WMV di Windows 10 menggunakan 5 solusi perangkat lunak ini
5 VPN terbaik dengan tombol pemutus untuk Windows untuk menghentikan kebocoran IP

5 VPN terbaik dengan tombol pemutus untuk Windows untuk menghentikan kebocoran IPPribadiVpnKeamanan Cyber

Keahlian perangkat lunak dan perangkat keras yang menghemat waktu yang membantu 200 juta pengguna setiap tahun. Memandu Anda dengan saran, berita, dan kiat untuk meningkatkan kehidupan teknologi An...

Baca selengkapnya
5+ antivirus offline terbaik untuk PC [Windows 10, 7]

5+ antivirus offline terbaik untuk PC [Windows 10, 7]Anti VirusKeamanan Cyber

Keahlian perangkat lunak dan perangkat keras yang menghemat waktu yang membantu 200 juta pengguna setiap tahun. Memandu Anda dengan saran, berita, dan kiat untuk meningkatkan kehidupan teknologi An...

Baca selengkapnya
5 peta pelacak malware terbaik untuk melihat serangan keamanan terjadi secara real-time

5 peta pelacak malware terbaik untuk melihat serangan keamanan terjadi secara real-timeKeamanan Cyber

Internet dulunya adalah tempat yang aman ketika pertama kali diluncurkan. Maju cepat 30 tahun kemudian hingga hari ini, situasinya telah berubah secara dramatis. Sederhananya: malware ada di mana-m...

Baca selengkapnya