תוכנת ריגול של Agent Tesla מתפשטת באמצעות מסמכי Microsoft Word

התוכנה הזדונית טסלה נפוצה באמצעות מייקרוסופט וורד מסמכים בשנה שעברה, ועכשיו זה חזר לרדוף אותנו. הגרסה האחרונה של תוכנת הריגול מבקשת מהקורבנות ללחוץ פעמיים על סמל כחול כדי לאפשר תצוגה ברורה יותר במסמך Word.

אם המשתמש זהיר מספיק כדי ללחוץ עליו, הדבר יביא לחילוץ קובץ .exe מהאובייקט המוטבע אל תוך התיקיה הזמנית של המערכת ואז הפעל אותו. זו רק דוגמה לאופן שבו תוכנה זדונית זו פועלת.

התוכנה הזדונית נכתבת ב- MS Visual Basic

ה תוכנה זדונית נכתב בשפת ה- Visual Visual MS, והוא נותח על ידי שיאופנג ג'אנג שפרסם את הניתוח המפורט בבלוג שלו ב -5 באפריל.

קובץ ההפעלה שנמצא על ידו נקרא POM.exe, וזה סוג של תוכנית התקנה. כאשר זה רץ, הוא הפיל שני קבצים בשם filename.exe ו- filename.vbs לתיקיית המשנה% temp%. כדי לגרום לו לפעול באופן אוטומטי בעת ההפעלה, הקובץ מוסיף את עצמו לרישום המערכת כתוכנית הפעלה, והוא מריץ% temp% filename.exe.

התוכנה הזדונית יוצרת תהליך ילד מושעה

כאשר filename.exe מתחיל, זה יוביל ליצירת תהליך של ילד מושעה עם אותו הדבר כדי להגן על עצמו.

לאחר מכן, הוא יחלץ קובץ PE חדש מהמשאב שלו כדי להחליף את זיכרון תהליך הילד. ואז, חידוש הביצוע של תהליך הילד מגיע.

• קָשׁוּר: 7 הכלים הטובים ביותר נגד תוכנות זדוניות עבור Windows 10 לחסימת איומים בשנת 2018

התוכנה הזדונית מפילה תוכנית דמון

התוכנה הזדונית מפילה גם תוכנית Daemon ממשאב התוכנית .Net בשם Player לתיקיה% temp% ומריצה אותה כדי להגן על filename.exe. שם התוכנית של הדמון מורכב משלוש אותיות אקראיות, ומטרתו ברורה ופשוטה.

הפונקציה הראשית מקבלת ארגומנט של שורת פקודה והיא שומרת אותו למשתנה מחרוזת שנקרא filePath. לאחר מכן, היא תיצור פונקציית שרשור באמצעותה היא בודקת אם filename.exe פועל כל 900 אלפיות השנייה. אם filename.exe נהרג, הוא יפעל שוב.

ג'אנג אמר כי FortiGuard AntiVirus זיהה את התוכנה הזדונית וחיסל אותה. אנו ממליצים לך לעבור ההערות המפורטות של ג'אנג כדי ללמוד עוד על תוכנות הריגול וכיצד היא פועלת.

סיפורים קשורים לבדיקה:

• מהו 'Windows זיהה זיהום בתוכנות ריגול!' וכיצד להסיר אותו?
• לא ניתן לעדכן את ההגנה מפני תוכנות ריגול במחשב שלך?
• פתח קבצי WMV ב- Windows 10 באמצעות 5 פתרונות תוכנה אלה