Lo spyware dell'agente Tesla si diffonde tramite documenti di Microsoft Word

Agente Tesla spyware Microsoft Word

Il malware dell'Agente Tesla si è diffuso tramite Microsoft Word documenti l'anno scorso, e ora è tornato a perseguitarci. L'ultima variante dello spyware chiede alle vittime di fare doppio clic su un'icona blu per consentire una visualizzazione più chiara in un documento di Word.

Se l'utente è abbastanza disattento da fare clic su di esso, ciò comporterà l'estrazione di un file .exe dall'oggetto incorporato nel cartella temporanea del sistema e poi eseguirlo. Questo è solo un esempio di come funziona questo malware.

Il malware è scritto in MS Visual Basic

Il malware è scritto nel linguaggio MS Visual Basic, ed è stato analizzato da Xiaopeng Zhang che ha pubblicato l'analisi dettagliata sul suo blog il 5 aprile.

Il file eseguibile trovato da lui si chiamava POM.exe, ed è una sorta di programma di installazione. Quando è stato eseguito, ha rilasciato due file denominati filename.exe e filename.vbs nella sottocartella %temp%. Per farlo funzionare automaticamente all'avvio, il file si aggiunge al registro di sistema come programma di avvio ed esegue %temp%filename.exe.

Il malware crea un processo figlio sospeso

All'avvio di filename.exe, questo porterà alla creazione di un processo figlio sospeso con lo stesso che per proteggersi.

Successivamente, estrarrà un nuovo file PE dalla propria risorsa per sovrascrivere la memoria del processo figlio. Quindi, arriva la ripresa dell'esecuzione del processo figlio.

  • RELAZIONATO: 7 migliori strumenti antimalware per Windows 10 per bloccare le minacce nel 2018

Il malware rilascia un programma demone

Il malware rilascia anche un programma Daemon dalla risorsa del programma .Net chiamata Player nella cartella %temp% e lo esegue per proteggere filename.exe. Il nome del programma del demone è composto da tre lettere casuali e il suo scopo è chiaro e semplice.

La funzione primaria riceve un argomento della riga di comando e lo salva in una variabile stringa chiamata filePath. Successivamente, creerà una funzione thread tramite la quale verifica se filename.exe viene eseguito ogni 900 millisecondi. Se filename.exe viene ucciso, verrà eseguito di nuovo.

Zhang ha affermato che FortiGuard AntiVirus ha rilevato il malware e lo ha eliminato. Ti consigliamo di passare attraverso Note dettagliate di Zhang per saperne di più sullo spyware e su come funziona.

STORIE CORRELATE DA VERIFICARE:

  • Che cos'è "Windows ha rilevato un'infezione da spyware!" e come rimuoverlo?
  • Non riesci ad aggiornare la protezione antispyware sul tuo computer?
  • Apri i file WMV in Windows 10 utilizzando queste 5 soluzioni software
FIX: Il tuo computer è stato bloccato [Avviso schermo rosso]

FIX: Il tuo computer è stato bloccato [Avviso schermo rosso]VirusSicurezza Informatica

Anche se può sembrare spaventoso, lo schermo rosso di avviso di Microsoft è per lo più innocuo.Puoi facilmente sbarazzarti di Il tuo computer è stato bloccato errore entrando in modalità provvisori...

Leggi di più
Wannacry e Petya spingono gli utenti ad aggiornare a Windows 10

Wannacry e Petya spingono gli utenti ad aggiornare a Windows 10Windows 10Sicurezza Informatica

Wannacry e Petya sono due feroci ransomware che di recente hanno infettato migliaia di computer. Il ransomware è una cosa ripugnante, ma queste due particolari serie di malware si sono dimostrate m...

Leggi di più
Gli utenti di Office 365 prendono di mira gli attacchi di invito al calendario

Gli utenti di Office 365 prendono di mira gli attacchi di invito al calendarioSicurezza Informatica

Gli strumenti di collaborazione della forza lavoro basati su cloud sono obiettivi di attacchi di hacking e phishing.Abnormal Security ha segnalato attacchi di phishing del calendario rivolti agli u...

Leggi di più