Lo spyware dell'agente Tesla si diffonde tramite documenti di Microsoft Word

Agente Tesla spyware Microsoft Word

Il malware dell'Agente Tesla si è diffuso tramite Microsoft Word documenti l'anno scorso, e ora è tornato a perseguitarci. L'ultima variante dello spyware chiede alle vittime di fare doppio clic su un'icona blu per consentire una visualizzazione più chiara in un documento di Word.

Se l'utente è abbastanza disattento da fare clic su di esso, ciò comporterà l'estrazione di un file .exe dall'oggetto incorporato nel cartella temporanea del sistema e poi eseguirlo. Questo è solo un esempio di come funziona questo malware.

Il malware è scritto in MS Visual Basic

Il malware è scritto nel linguaggio MS Visual Basic, ed è stato analizzato da Xiaopeng Zhang che ha pubblicato l'analisi dettagliata sul suo blog il 5 aprile.

Il file eseguibile trovato da lui si chiamava POM.exe, ed è una sorta di programma di installazione. Quando è stato eseguito, ha rilasciato due file denominati filename.exe e filename.vbs nella sottocartella %temp%. Per farlo funzionare automaticamente all'avvio, il file si aggiunge al registro di sistema come programma di avvio ed esegue %temp%filename.exe.

Il malware crea un processo figlio sospeso

All'avvio di filename.exe, questo porterà alla creazione di un processo figlio sospeso con lo stesso che per proteggersi.

Successivamente, estrarrà un nuovo file PE dalla propria risorsa per sovrascrivere la memoria del processo figlio. Quindi, arriva la ripresa dell'esecuzione del processo figlio.

  • RELAZIONATO: 7 migliori strumenti antimalware per Windows 10 per bloccare le minacce nel 2018

Il malware rilascia un programma demone

Il malware rilascia anche un programma Daemon dalla risorsa del programma .Net chiamata Player nella cartella %temp% e lo esegue per proteggere filename.exe. Il nome del programma del demone è composto da tre lettere casuali e il suo scopo è chiaro e semplice.

La funzione primaria riceve un argomento della riga di comando e lo salva in una variabile stringa chiamata filePath. Successivamente, creerà una funzione thread tramite la quale verifica se filename.exe viene eseguito ogni 900 millisecondi. Se filename.exe viene ucciso, verrà eseguito di nuovo.

Zhang ha affermato che FortiGuard AntiVirus ha rilevato il malware e lo ha eliminato. Ti consigliamo di passare attraverso Note dettagliate di Zhang per saperne di più sullo spyware e su come funziona.

STORIE CORRELATE DA VERIFICARE:

  • Che cos'è "Windows ha rilevato un'infezione da spyware!" e come rimuoverlo?
  • Non riesci ad aggiornare la protezione antispyware sul tuo computer?
  • Apri i file WMV in Windows 10 utilizzando queste 5 soluzioni software
Microsoft Azure ospita involontariamente siti di malware

Microsoft Azure ospita involontariamente siti di malwareAzzurroSicurezza Informatica

Le truffe di phishing sono comuni in questi giorni. Stali truffe servizi mirati come Dropbox, i servizi web di Amazon e Google Drive in passato. Un team di ricercatori ha recentemente identificato ...

Leggi di più
Windows Defender può bloccare Petya e GoldenEye Ransomware su Windows 10

Windows Defender può bloccare Petya e GoldenEye Ransomware su Windows 10RansomwareSicurezza Informatica

Una nuova ondata di attacchi ransomware con protagonista Petya e GoldenEye ransomware ha colpito migliaia di computer in tutto il mondo. Questo attacco arriva solo un mese dopo il massiccio attacco...

Leggi di più
È possibile rilevare la VPN? Quali VPN non possono essere rilevate?

È possibile rilevare la VPN? Quali VPN non possono essere rilevate?VpnSicurezza Informatica

Una VPN potrebbe salvarti da molti grattacapi, ma cosa succede se non vuoi che nessuno sappia che ne stai utilizzando una?Il modo più semplice per evitare il rilevamento durante l'utilizzo di una V...

Leggi di più