Lo spyware dell'agente Tesla si diffonde tramite documenti di Microsoft Word

Agente Tesla spyware Microsoft Word

Il malware dell'Agente Tesla si è diffuso tramite Microsoft Word documenti l'anno scorso, e ora è tornato a perseguitarci. L'ultima variante dello spyware chiede alle vittime di fare doppio clic su un'icona blu per consentire una visualizzazione più chiara in un documento di Word.

Se l'utente è abbastanza disattento da fare clic su di esso, ciò comporterà l'estrazione di un file .exe dall'oggetto incorporato nel cartella temporanea del sistema e poi eseguirlo. Questo è solo un esempio di come funziona questo malware.

Il malware è scritto in MS Visual Basic

Il malware è scritto nel linguaggio MS Visual Basic, ed è stato analizzato da Xiaopeng Zhang che ha pubblicato l'analisi dettagliata sul suo blog il 5 aprile.

Il file eseguibile trovato da lui si chiamava POM.exe, ed è una sorta di programma di installazione. Quando è stato eseguito, ha rilasciato due file denominati filename.exe e filename.vbs nella sottocartella %temp%. Per farlo funzionare automaticamente all'avvio, il file si aggiunge al registro di sistema come programma di avvio ed esegue %temp%filename.exe.

Il malware crea un processo figlio sospeso

All'avvio di filename.exe, questo porterà alla creazione di un processo figlio sospeso con lo stesso che per proteggersi.

Successivamente, estrarrà un nuovo file PE dalla propria risorsa per sovrascrivere la memoria del processo figlio. Quindi, arriva la ripresa dell'esecuzione del processo figlio.

  • RELAZIONATO: 7 migliori strumenti antimalware per Windows 10 per bloccare le minacce nel 2018

Il malware rilascia un programma demone

Il malware rilascia anche un programma Daemon dalla risorsa del programma .Net chiamata Player nella cartella %temp% e lo esegue per proteggere filename.exe. Il nome del programma del demone è composto da tre lettere casuali e il suo scopo è chiaro e semplice.

La funzione primaria riceve un argomento della riga di comando e lo salva in una variabile stringa chiamata filePath. Successivamente, creerà una funzione thread tramite la quale verifica se filename.exe viene eseguito ogni 900 millisecondi. Se filename.exe viene ucciso, verrà eseguito di nuovo.

Zhang ha affermato che FortiGuard AntiVirus ha rilevato il malware e lo ha eliminato. Ti consigliamo di passare attraverso Note dettagliate di Zhang per saperne di più sullo spyware e su come funziona.

STORIE CORRELATE DA VERIFICARE:

  • Che cos'è "Windows ha rilevato un'infezione da spyware!" e come rimuoverlo?
  • Non riesci ad aggiornare la protezione antispyware sul tuo computer?
  • Apri i file WMV in Windows 10 utilizzando queste 5 soluzioni software
Aggiorna il tuo Windows per difenderti dagli attacchi di Controllo completo

Aggiorna il tuo Windows per difenderti dagli attacchi di Controllo completoTrojanAutista CorrottoSicurezza Informatica

Gli utenti Windows sono ancora una volta suscettibili agli attacchi di malware.La vulnerabilità del driver è ora aumentataCome noi già segnalato, all'inizio di questo mese Eclypsium, una società di...

Leggi di più
Windows Defender rimuove il fastidioso software di ottimizzazione del PC a partire dal 1 marzo

Windows Defender rimuove il fastidioso software di ottimizzazione del PC a partire dal 1 marzoProblemi Con Windows DefenderSicurezza Informatica

Molti utenti si sono imbattuti in software gratuito che esegue la scansione dei loro sistemi per tutti i tipi di errori, e quindi visualizzano vari messaggi allarmanti per spaventarli e spingerli a...

Leggi di più
La patch Windows 7 Meltdown rende i PC ancora più vulnerabili alle minacce

La patch Windows 7 Meltdown rende i PC ancora più vulnerabili alle minacceWindows 7Sicurezza Informatica

Alcune settimane fa, Microsoft ha lanciato rapidamente un patch per riparare Spectre e Meltdown vulnerabilità di sicurezza persistenti in Windows 7. Sfortunatamente, le cose non sono andate come pr...

Leggi di più