Lo spyware dell'agente Tesla si diffonde tramite documenti di Microsoft Word

Agente Tesla spyware Microsoft Word

Il malware dell'Agente Tesla si è diffuso tramite Microsoft Word documenti l'anno scorso, e ora è tornato a perseguitarci. L'ultima variante dello spyware chiede alle vittime di fare doppio clic su un'icona blu per consentire una visualizzazione più chiara in un documento di Word.

Se l'utente è abbastanza disattento da fare clic su di esso, ciò comporterà l'estrazione di un file .exe dall'oggetto incorporato nel cartella temporanea del sistema e poi eseguirlo. Questo è solo un esempio di come funziona questo malware.

Il malware è scritto in MS Visual Basic

Il malware è scritto nel linguaggio MS Visual Basic, ed è stato analizzato da Xiaopeng Zhang che ha pubblicato l'analisi dettagliata sul suo blog il 5 aprile.

Il file eseguibile trovato da lui si chiamava POM.exe, ed è una sorta di programma di installazione. Quando è stato eseguito, ha rilasciato due file denominati filename.exe e filename.vbs nella sottocartella %temp%. Per farlo funzionare automaticamente all'avvio, il file si aggiunge al registro di sistema come programma di avvio ed esegue %temp%filename.exe.

Il malware crea un processo figlio sospeso

All'avvio di filename.exe, questo porterà alla creazione di un processo figlio sospeso con lo stesso che per proteggersi.

Successivamente, estrarrà un nuovo file PE dalla propria risorsa per sovrascrivere la memoria del processo figlio. Quindi, arriva la ripresa dell'esecuzione del processo figlio.

  • RELAZIONATO: 7 migliori strumenti antimalware per Windows 10 per bloccare le minacce nel 2018

Il malware rilascia un programma demone

Il malware rilascia anche un programma Daemon dalla risorsa del programma .Net chiamata Player nella cartella %temp% e lo esegue per proteggere filename.exe. Il nome del programma del demone è composto da tre lettere casuali e il suo scopo è chiaro e semplice.

La funzione primaria riceve un argomento della riga di comando e lo salva in una variabile stringa chiamata filePath. Successivamente, creerà una funzione thread tramite la quale verifica se filename.exe viene eseguito ogni 900 millisecondi. Se filename.exe viene ucciso, verrà eseguito di nuovo.

Zhang ha affermato che FortiGuard AntiVirus ha rilevato il malware e lo ha eliminato. Ti consigliamo di passare attraverso Note dettagliate di Zhang per saperne di più sullo spyware e su come funziona.

STORIE CORRELATE DA VERIFICARE:

  • Che cos'è "Windows ha rilevato un'infezione da spyware!" e come rimuoverlo?
  • Non riesci ad aggiornare la protezione antispyware sul tuo computer?
  • Apri i file WMV in Windows 10 utilizzando queste 5 soluzioni software
L'FBI vuole che aggiorni il tuo Windows 7 al più presto

L'FBI vuole che aggiorni il tuo Windows 7 al più prestoWindows 7Sicurezza Informatica

L'FBI ha emesso una notifica del settore privato (PIN) per avvertire dell'aumento degli attacchi ai sistemi di fine vita di Windows 7.Microsoft ha interrotto il supporto per Windows 7 il 14 gennaio...

Leggi di più
5 browser che non salvano la tua cronologia e i tuoi dati personali

5 browser che non salvano la tua cronologia e i tuoi dati personaliNavigazione PrivataSicurezza Informatica

Competenza software e hardware per risparmiare tempo che aiuta 200 milioni di utenti all'anno. Guidandoti con consigli pratici, notizie e suggerimenti per aggiornare la tua vita tecnologica.Opera è...

Leggi di più
5+ migliori strumenti antivirus con licenza a vita [Guida 2021]

5+ migliori strumenti antivirus con licenza a vita [Guida 2021]Sicurezza Informatica

Competenza software e hardware per risparmiare tempo che aiuta 200 milioni di utenti all'anno. Guidandoti con consigli pratici, notizie e suggerimenti per aggiornare la tua vita tecnologica.Se stai...

Leggi di più