Il malware dell'Agente Tesla si è diffuso tramite Microsoft Word documenti l'anno scorso, e ora è tornato a perseguitarci. L'ultima variante dello spyware chiede alle vittime di fare doppio clic su un'icona blu per consentire una visualizzazione più chiara in un documento di Word.
Se l'utente è abbastanza disattento da fare clic su di esso, ciò comporterà l'estrazione di un file .exe dall'oggetto incorporato nel cartella temporanea del sistema e poi eseguirlo. Questo è solo un esempio di come funziona questo malware.
Il malware è scritto in MS Visual Basic
Il malware è scritto nel linguaggio MS Visual Basic, ed è stato analizzato da Xiaopeng Zhang che ha pubblicato l'analisi dettagliata sul suo blog il 5 aprile.
Il file eseguibile trovato da lui si chiamava POM.exe, ed è una sorta di programma di installazione. Quando è stato eseguito, ha rilasciato due file denominati filename.exe e filename.vbs nella sottocartella %temp%. Per farlo funzionare automaticamente all'avvio, il file si aggiunge al registro di sistema come programma di avvio ed esegue %temp%filename.exe.
Il malware crea un processo figlio sospeso
All'avvio di filename.exe, questo porterà alla creazione di un processo figlio sospeso con lo stesso che per proteggersi.
Successivamente, estrarrà un nuovo file PE dalla propria risorsa per sovrascrivere la memoria del processo figlio. Quindi, arriva la ripresa dell'esecuzione del processo figlio.
- RELAZIONATO: 7 migliori strumenti antimalware per Windows 10 per bloccare le minacce nel 2018
Il malware rilascia un programma demone
Il malware rilascia anche un programma Daemon dalla risorsa del programma .Net chiamata Player nella cartella %temp% e lo esegue per proteggere filename.exe. Il nome del programma del demone è composto da tre lettere casuali e il suo scopo è chiaro e semplice.
La funzione primaria riceve un argomento della riga di comando e lo salva in una variabile stringa chiamata filePath. Successivamente, creerà una funzione thread tramite la quale verifica se filename.exe viene eseguito ogni 900 millisecondi. Se filename.exe viene ucciso, verrà eseguito di nuovo.
Zhang ha affermato che FortiGuard AntiVirus ha rilevato il malware e lo ha eliminato. Ti consigliamo di passare attraverso Note dettagliate di Zhang per saperne di più sullo spyware e su come funziona.
STORIE CORRELATE DA VERIFICARE:
- Che cos'è "Windows ha rilevato un'infezione da spyware!" e come rimuoverlo?
- Non riesci ad aggiornare la protezione antispyware sul tuo computer?
- Apri i file WMV in Windows 10 utilizzando queste 5 soluzioni software
